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内 容 简 介 


本 书 是 为 高 校 非 计算 机 专业 学 生 特 别 撰写 的 。 它 结合 现场 的 实验 软 硬 件 环境 ,并 充分 考虑 了 学 生 
的 培养 特点 以 及 将 来 就 业 的 社会 需求 ,力求 让 学 生 通 过 实验 实践 ,完善 电子 支付 与 信息 安全 的 理论 学 
习 , 更 加 深入 理解 电子 支付 与 信息 安全 的 意义 和 作用 。 

本 书 共 分 8 章 ,分 别 为 操作 系统 篇 .网络 系统 安全 篇 .病毒 篇 .应 用 安全 篇 ,数据库 篇 .电子 商务 应 用 
篇 ,电子 商务 环境 搭建 与 营销 支付 篇 和 电子 商务 物流 篇 ,本 书 还 提供 了 13 个 实验 供 学 生 练习 。 

真实 ,体验 、 直 观 是 本 书 的 特色 ,通过 本 书 的 学 习 和 交流 ,可 使 学 生 在 实际 环境 中 动手 操作 ,并 从 实 
践 中 检验 知识 。 

本 书 既 可 作为 高 校 非 计算 机 各 专业 的 实验 教材 ,也 可 作为 高 职高 专 各 专业 的 实验 教材 ,还 可 作为 
其 他 专业 人 员 的 参考 书 。 
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PREFRCE 


目前 ,我国 财经 类 院 校 在 人 才 培 养 过 程 中 比较 注重 专业 知识 和 技能 的 传授 与 培养 
而 对 跨 专 业 的 行业 通 识 教育 重视 不 足 。 本 套 教材 是 上 海 商 学 院 在 几 年 探索 与 实践 基础 
上 ,逐步 形成 的 经 管 类 各 专业 通 识 性 教育 系列 实践 教材 。 

本 套 教材 由 长 期 从 事 财经 类 专业 教学 一 线 教师 与 企业 专家 共同 编写 。 教 材 主要 包 
括 信 息 管理 类 、 营 运 资金 管理 类 、 人 力 资源 管理 类 、 商 贸 应 用 扩展 类 和 技能 培训 类 五 大 模 
块 的 实验 实 训 内 容 。 通 过 本 套 教材 学 习 , 学 生 可 以 具备 经 管 类 跨 专业 的 基本 素养 ,为 
以 后 的 职业 发 展 打下 扎实 的 实践 基础 。 为 了 更 好 地 训练 学 生 自主 学 习 能 力 , 本 套 教 材 
还 配套 编写 了 支持 学 生 自主 学 习 的 网 络 实 践 学 习 指导 。 本 套 教 材 可 用 于 财经 类 本 科 
学 校 普 适 性 实践 教学 。 


胡 巧 多 
2012 年 5 月 
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信息 技术 的 高 速 发 展 给 社会 发 展 带 来 重大 影响 ,也 严重 影响 了 人 们 的 生产 和 生活 。 
人 们 对 信息 的 依赖 越 来 越 大 ,同样 ,人 们 对 信息 的 安全 也 提出 了 更 高 的 要 求 。 

信息 化 给 人 们 带 来 新 的 社会 安全 问题 ,尤其 以 网 络 环境 为 中 心 的 信息 系统 的 安全 问 
题 不 同 于 传统 意义 的 安全 , 它 具 有 新 的 形势 和 特点 。 无 论 是 在 信息 安全 管理 方面 ,还 是 
在 电子 商务 应 用 技术 方面 ,人 才 是 核心 要 素 , 需要 不 同 领域 ,不 同 层次 的 多 方面 人 才 , 特 
别 是 高 素质 复合 型 人 才 尤 为 重要 。 

本 书 为 高 校 非 计算 机 专业 学 生 特 别 撰写 , 它 结 合 了 现场 实验 的 软 硬 件 环境 ,并 充分 
考虑 了 学 生 的 培养 特点 以 及 将 来 就 业 的 客观 社会 需求 , 力求 让 学 生 通 过 实验 实践 ,将 理 
论 知识 与 实际 应 用 相 结 合 。 

真实 、 体 验 ,直观 是 本 书 的 特色 。 

本 书 共 分 8 章 , 分 别 为 操作 系统 篇 .网 络 系统 安全 篇 .病毒 篇 .应 用 安全 篇 .数据库 
篇 .电子 商务 应 用 篇 .电子 商务 环境 搭建 与 营销 支付 篇 和 电子 商务 物流 篇 ,每 章 前 均 有 相 
关 的 理论 知识 的 介绍 。 本 课程 建议 学 时 为 32 一 36 学 时 ,同时 共 附 有 13 个 实验 ,在 实际 
教学 过 程 中 ,可 根据 学 生 的 具体 情况 和 学 时 ,做 适当 的 删 减 ,建议 每 章 至 少 完成 一 个 
实验 。 

本 书 由 张 新 谊 任 主编 , 蒋 传 进 编写 了 第 6 章 、 第 7 章 和 第 8 章 ,蔡京 玫 编 写 了 第 3 章 ， 
叶 龙 编写 了 第 5 章 ,其 余 由 张 新 谊 编写 并 统 稿 。 

在 本 书 的 编写 过 程 中 ,得 到 了 上 海 庚 商 网 络 信息 技术 有 限 公司 和 南京 奥 派 信息 技术 
有 限 公司 的 大 力 支持 ,在 此 一 并 致谢 。 

由 于 编者 水 平 所 限 , 书 中 一 定 存 有 不 足 之 处 , 敬 请 读者 提出 宝贵 意见 和 建议 。 


编 者 
2012 年 3 月 于 上 海 
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操作 系统 篇 


1.1 引言 


操作 系统 是 计算 机 中 最 基础 .最 重要 的 系统 软件 ,各 种 应 用 程序 要 想 运行 ,必须 依赖 
于 操作 系统 提供 的 系统 软件 ,没有 安全 操作 系统 的 支撑 ,安全 保密 性 也 就 无 从 谈 起 。 利 
用 Windows Server 2003 系统 自身 的 安全 工具 ,通过 身份 验证 .账户 管理 .权限 管理 .日志 
管理 等 可 以 制定 一 套 完善 的 计算 机 安全 防护 策略 ,维护 Windows 操作 系统 的 基本 安全 。 


1.2 操作 系统 概述 


1.2.1 操作 系统 的 功能 


操作 系统 的 主要 功能 ,可 以 从 以 下 三 个 方面 来 讨论 : 

(1) 管理 计算 机 系统 的 硬件 .软件 .数据 等 各 种 资源 , 尽 可 能 减少 人 工分 配 资源 的 工 
作 以 及 人 对 机 器 的 干预 ,发 挥 计算 机 的 自动 工作 效率 。 

(2) 协调 各 种 资源 在 使 用 过 程 中 的 关系 ,使 得 计算 机 的 各 种 资源 使 用 调度 合理 ,高 速 
设备 与 低速 设备 运行 相互 配合 。 

(3) 为 用 户 提供 使 用 计算 机 系统 的 环境 ,方便 使 用 计算 机 系统 的 各 部 件 或 功能 。 操 
作 系 统 通 过 自己 的 程序 ,将 计算 机 系统 的 各 种 资源 所 提供 的 功能 抽象 出 来 ,形成 与 之 等 
价 的 操作 系统 的 功能 ,并 形象 地 表现 出 来 ,提供 给 用 户 , 让 其 方便 地 使 用 计算 机 。 


1.2.2 操作 系统 的 分 类 
从 用 途 的 角度 ,操作 系统 可 分 为 专用 操作 系统 和 通用 操作 系统 两 类 。 专 用 操作 系统 
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是 指 用 于 控制 和 管理 专项 事物 的 操作 系统 ,如 现代 手机 中 使 用 的 操作 系统 ,这 类 系统 一 
般 以 嵌入 硬件 的 方式 出 现 ,用 于 特定 的 用 途 。 通 用 操作 系统 具有 完善 的 功能 ,能 够 适应 
多 种 用 途 的 需要 。 

从 单机 和 网 络 的 角度 ,操作 系统 可 分 为 单机 操作 系统 和 网 络 操作 系统 。 单 机 操作 系 
统 是 针对 单个 计算 机 系统 的 环境 设计 的 , 它 只 有 管理 本 机 系统 资源 的 功能 。 单 用 户 操作 
系统 是 一 种 更 为 特殊 的 单机 操作 系统 , 它 是 针对 一 台 机 器 ,一 个 用 户 而 设计 的 操作 系统 ， 
它 的 基本 特征 是 一 次 只 能 支持 一 个 用 户 作 业 的 运行 ,系统 的 所 有 资源 由 该 用 户 独 占 ,该 
用 户 对 整个 计算 机 系统 有 绝对 的 控制 权 。 

从 功能 的 角度 ,操作 系统 可 分 为 批 处 理 操 作 系 统 、 分 时 操作 系统 、 实 时 操作 系统 、 网 
络 操作 系统 、 分 布 式 操作 系统 。 批 处 理 操作 系统 、 分 时 操作 系统 和 实时 操作 系统 的 运行 
环境 大 多 是 单 计算 机 系统 ,而 网 络 操作 系统 和 分 布 式 操作 系统 的 运行 环境 是 多 计算 机 

1. 批 处 理 操 作 系 统 

批 处 理 操作 系统 的 基本 特征 是 “批量 ”, 即 将 要 交 给 计算 机 处 理 的 若干 个 作业 组 织 成 
队列 成 批 地 交 给 计算 机 自动 地 按 作业 队列 顺序 逐个 处 理 。 它 可 分 为 单 道 批 处 理 操 作 系 
统 和 多 道 批 处 理 操 作 系 统 。 单 道 批 处 理 操作 系统 一 次 只 能 调 入 一 个 处 理 作 业 在 计算 机 
内 运行 ,其 他 作业 放 在 辅助 存储 器 上 , 它 类 似 于 单 用 户 操作 系统 。 计 算 机 在 运行 处 理 作 
业 时 ,时 间 主 要 消耗 在 两 个 方面 : 一 方面 是 消耗 在 CPU 执行 程序 上 ; 另 一 方面 是 消耗 在 
输入 输出 上 。 由 于 输入 输出 设备 的 速度 相对 于 CPU 执行 程序 的 速度 慢 很 多 ,导致 计算 
机 在 输入 输出 时 CPU 处 于 空闲 状态 。 为 了 提高 CPU 的 使 用 效率 ,出 现 了 多 道 批 处 理 操 
作 系 统 。 它 与 单 道 批 处 理 操作 系统 的 区 别 是 在 计算 机 内 存 中 可 以 有 多 个 作业 存在 ,调度 
程序 根据 事先 确定 的 策略 ,选择 一 个 作业 将 CPU 资源 分 配给 它 运行 处 理 , 当 处 理 的 作业 
要 进入 输入 输出 操作 时 ,就 释放 对 CPU 的 占有 ,调度 程序 则 从 内 存 中 等 待 处 理 的 作业 中 
选择 一 个 交 给 CPU 执行 ,这 样 ,就 提高 了 CPU 的 使 用 效率 。 

2. 分 时 操作 系统 

分 时 是 指 两 个 或 两 个 以 上 的 事件 按时 间 划 分 轮流 使 用 计算 机 系统 的 某 一 资源 (主要 
是 CPU 资源 ) 。 在 一 个 系统 中 如 果 多 个 用 户 分 时 使 用 一 个 计算 机 ,那么 这 样 的 系统 称 为 
分 时 操作 系统 。 分 时 的 时 间 单 位 称 为 时 间 片 ,一 个 时 间 片 一 般 是 几 十 毫秒 。 在 一 个 分 时 
操作 系统 中 ,往往 要 连接 几 十 个 甚至 上 百 个 终端 ,每 个 用 户 在 自己 的 终端 上 控制 其 作业 
的 运行 。 通 过 操作 系统 的 管理 ,将 CPU 轮流 分 配给 各 个 用 户 使 用 。 

3. 实时 操作 系统 

实时 操作 系统 要 求实 时 处 理 并 快速 给 出 处 理 结果 。 实 时 操作 系统 一 般 是 采用 时 间 
驱动 的 设计 方法 ,系统 能 够 及 时 对 随时 发 生 的 事件 做 出 响应 并 及 时 处 理 。 实 时 操作 系统 
分 为 实时 控制 操作 系统 和 实时 处 理 操作 系统 。 实 时 控制 操作 系统 常用 于 工业 控制 ,以 及 
飞行 器 、 导 弹 发 射 等 军事 方面 的 自动 控制 。 实 时 处 理 操作 系统 常用 于 预订 飞机 票 、 航 班 
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查询 ,以 及 银行 之 间 账 务 往来 等 。 

4. 网 络 操作 系统 

随 着 计算 机 技术 的 迅速 发 展 和 网 络 技术 的 日 益 完善 ,不 同 地 域 的 .具有 独立 处 理 能 
力 的 多 个 计算 机 系统 通过 通信 设施 互联 ,实现 资源 共享 ,组 成 计算 机 网 络 ,成 为 一 种 更 开 
放 的 工作 环境 ,网 络 操作 系统 也 应 运 而 生 。 网 络 操作 系统 除了 具有 单机 操作 系统 的 所 有 
功能 以 外 ,还 具有 网 络 资源 的 管理 功能 ,支持 网 络 应 用 程序 运行 。 

5. 分 布 式 操作 系统 

分 布 式 操作 系统 是 为 分 布 式 计算 机 系统 配置 的 操作 系统 。 分 布 式 计算 机 系统 与 计 
算 机 网 络 一 样 ,多 台 计 算 机 系统 通过 通信 和 网络 互联 ,实现 资源 共享 ,但 不 同 的 是 系统 中 的 
各 个 计算 机 没有 主 次 之 分 ,各 计算 机 具有 相对 的 自治 性 ,用 户 访问 共享 资源 时 ,不 需要 知 
道 该 共享 资源 位 于 哪 台 计算 机 上 ,如 需要 的 话 ,系统 中 的 多 台 计 算 机 可 以 相互 协作 共同 
完成 一 个 任务 , 即 可 以 将 一 个 任务 分 割 成 若干 个 子 任务 分 散 到 多 台 计 算 机 上 同时 并 行 执 
行 。 实 际 上 ,一 种 商用 操作 系统 往往 包括 了 批 处 理 操 作 系统 .分 时 操作 系统 、 实 时 操作 系 
统 、 网 络 操作 系统 、 分 布 式 操作 系统 等 多 方面 的 功能 。 不 同 的 操作 系统 根据 自身 用 途 的 
定位 和 面向 的 用 户 ,在 各 种 功能 的 强 弱 上 会 有 所 区 别 。 


1.3 Windows Server 2003 安全 策略 


随 着 信息 化 进程 的 加 快 ,网 络 迅 速 发 展 ,网 络 安全 的 重要 性 也 渐渐 凸现 。 网 络 安 全 
涉及 各 个 方面 ,而 网 络 操作 系统 的 安全 设置 很 关键 ,Windows Server 2003 网 络 操 作 系 统 
用 户 众多 ,是 各 种 网 络 建设 的 首选 ,Windows Server 2003 网 络 操作 系统 沿袭 了 Windows 
的 传统 ,在 网 络 管理 方面 引入 许多 新 的 功能 ,提供 了 更 高 的 硬件 支持 和 更 加 强大 的 安全 
功能 ,如 何 用 好 Windows Server 2003 的 安全 策略 ,怎样 选择 合理 的 设置 ,使 网 络 安全 配 
置 得 更 好 ,对 企业 网 .校园 网 ,政务 网 等 是 至 关 重 要 的 ,要 设置 好 Windows Server 2003 网 
络 操作 系统 的 安全 配置 ,必须 了 解 Windows Server 2003 网 络 操作 系统 的 安全 策略 ,分析 
Windows Server 2003 网 络 操作 系统 的 安全 策略 。 


1.3.1 账户 安全 策略 


账户 安全 策略 包括 密码 策略 、 账 户 锁定 策略 和 Kerberos 策略 三 个 方面 ,用 户 账户 的 
保护 主要 是 密码 保护 。 通 常 采取 提高 密码 的 破解 难度 、 启 用 账户 锁定 策略 、 限 制 用 户 登 
录 等 措施 。 密 码 策略 用 于 域 账户 或 本 地 用 户 账户 。 在 Windows Server 2003 系统 中 ,可 
以 通过 账户 策略 设置 中 的 “密码 策略 ”来 进行 设置 。 通 过 提高 密码 的 复杂 性 、 增 大 密码 的 
长 度 .提高 更 换 频率 等 措施 来 提高 密码 的 破解 难度 。 该 策略 通过 确保 旧 密 码 不 能 在 某 段 
时 间 内 重复 使 用 ,使 用 户 账户 更 安全 。 

要 维持 密码 历史 记录 的 有 效 性 . 则 在 通过 启用 密码 最 短 使 用 期 限 安全 策略 ,设置 更 
改 密码 之 后 ,不 允许 立即 更 改 密码 。 可 将 密码 的 过 期 天 数 设置 为 1 一 999 天 ; 如 果 将 天 数 
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设置 为 0, 则 指定 密码 永 不 过 期 。 使 密码 每 隔 30 一 90 天 过 期 一 次 是 一 种 较 好 的 安全 选 
择 。 用 这 种 方式 ,攻击 者 只 能 够 在 有 限 的 时 间 内 破解 用 户 密码 并 访问 网 络 资源 。 账 户 锁 
定 策略 用 于 域 账 户 或 本 地 用 户 账户 ,包含 账户 锁定 时 间 、 账 户 锁定 阅 值 ,以 及 复位 账户 锁 
定 计数 器 。 上 账户 锁定 是 指 在 某 些 情况 下 为 保护 该 账户 的 安全 而 将 此 账户 进行 锁定 。 使 
其 在 一 定 的 时 间 内 不 能 再 次 使 用 ,从 而 挫败 连续 的 猜 解 尝试 。 账 户 锁定 时 间 确 定 锁定 的 
账户 在 自动 解锁 前 保持 锁定 状态 的 分 钟 数 。 有 效 范围 为 0 一 99 999 分 钟 。 如 果 将 账户 锁 
定时 间 设 置 为 0, 那么 在 管理 员 明 确 将 其 解锁 前 ,该 账户 将 被 锁定 。 如 果 定 义 了 账户 锁定 
阔 值 , 则 账户 锁定 时 间 必 须 大 于 或 等 于 重 置 时 间 , 默 认 值 为 无 。 因 为 只 有 当 指定 了 上 账户 
锁定 阔 值 时 ,该 策略 设置 才 有 意义 。 账 户 锁定 阔 值 ,该 安全 设置 确定 造成 用 户 账 户 被 锁 
定 的 登录 失败 尝试 的 次 数 。 无 法 使 用 锁定 的 账户 ,除非 管理 员 进 行 了 重新 设置 或 该 账户 
的 锁定 时 间 已 过 期 。 登 录 举 试 失败 的 范围 可 设置 为 0 一 999。 如 果 将 此 值 设 为 0, 则 将 无 
法 锁定 账户 。 复 位 账户 锁定 计数 器 ,该 安全 设置 确定 在 登录 尝试 失败 计数 器 被 复位 为 0 
( 即 0 次 失败 登录 尝试 ) 之 前 ,尝试 登录 失败 之 后 所 需 的 分 钟 数 。 有 效 范围 为 1 一 99 999 
分 钟 。 如 果 定 义 了 账户 锁定 阔 值 , 则 该 复位 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 。 
Windows Server 2003 系统 在 默认 情况 下 ,这 种 锁定 策略 并 没有 进行 设 定 ,对 黑客 的 攻击 
没有 任何 限制 。 账 户 锁定 策略 设 定 的 第 一 步 就 是 指定 账户 锁定 的 阔 值 , 即 锁定 前 该 账户 
无 效 登录 的 次 数 。 一 般 设置 账户 锁定 冰 值 为 3 次 ,如 果 3 次 登录 全 部 失败 ,就 会 锁定 该 
账户 。Kerberos V5 身份 验证 协议 是 用 于 确认 用 户 或 主机 身份 的 身份 验证 机 制 , 也 是 
Windows Server 2003 系统 默认 的 身份 验证 服务 。 为 防止 “轮番 攻击 ”,Kerberos V5 在 其 
协议 定义 中 使 用 了 时 间 戳 。 为 使 时 间 戳 正常 工作 ,客户 端 和 域 控制 器 的 时 钟 应 尽 可 能 地 
保持 同步 。 如 果 客 户 端 时 钟 和 域 控制 器 时 钟 间 的 差 值 小 于 该 策略 中 指定 的 最 大 时 间 差 ， 
那么 在 这 两 台 计算 机 的 会 话 中 使 用 的 任何 时 间 戳 都 将 被 认为 是 可 信和 的。 


1.3.2 本 地 策略 


本 地 策略 包含 审核 策略 ` 公 钥 策略 .软件 限制 策略 等 。 审 核 策略 包含 9 个 策略 选项 。 
系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日 志文 件 , 以 供 管理 员 进 行 
分 析 、 查 找 系统 和 应 用 程序 故障 ,以 及 各 类 安全 事件 。 对 Windows Server 2003 系统 来 
说 ,为 了 不 影响 系统 性 能 ,默认 的 安全 策略 并 不 对 安全 事件 进行 审核 。 从 “安全 配置 和 分 
析 ” 工 具 用 SecEdit 安全 模板 进行 的 分 析 结 果 可 知 ,这 些 有 红色 标记 的 审核 策略 应 该 已 经 
启用 ,这 可 用 来 发 现 来 自 外 部 和 内 部 的 黑客 的 入 侵 行为 。 对 于 关键 的 应 用 服务 器 和 文件 
服务 器 来 说 ,应 同时 启用 剩 下 的 安全 策略 。 如 果 已 经 启用 了 ”审核 对 象 访 问 ” 策 略 ,那么 
就 要 求 必须 使 用 NTFS 文件 系统 。NTFS 文件 系统 不 仅 提供 对 用 户 的 访问 控制 ,而 且 还 
可 以 对 用 户 的 访问 操作 进行 审核 。 但 这 种 审核 功能 ,需要 针对 具体 的 对 象 来 进行 相应 的 
配置 。 首 先 在 被 审核 对 象 “安全 ”属性 的 “高 级 "属性 中 添加 要 审核 的 用 户 和 组 。 在 该 对 
话 框 中 选择 好 要 审核 的 用 户 后 .就 可 以 设置 对 其 进行 审核 的 事件 和 结果 。 在 所 有 的 审核 
策略 生效 后 ,就 可 以 通过 检查 系统 的 日 志 来 发 现 黑客 的 蛛丝马迹 。 
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在 系统 中 启用 安全 审核 策略 后 ,管理 员 应 经 常 查看 安全 日 志 的 记录 ,和 否则 就 失去 了 
及 时 补救 和 防御 的 时 机 了 。 除 了 安全 日 志 外 ,管理 员 还 要 注意 检查 各 种 服务 或 应 用 的 日 
志文 件 。 在 Windows Server 2003 IIS 6.0 中 ,其 日 志 功 能 默认 已 经 启动 ,并 且 日 志文 件 
存放 的 路 径 默认 在 System32/LogFiles 目录 下 ,打开 IIS 日 志文 件 ,可 以 看 到 对 Web 服 
务 器 的 HTTP 请 求 ,IIS 6.0 系统 自 带 的 日 志 功 能 从 某 种 程度 上 可 以 成 为 人 侵 检测 的 得 
力 帮 手 。 使 用 Syskey 保障 密码 信息 的 安全 。 保 存在 活动 目录 中 的 域 账号 密码 信息 是 最 
为 敏感 的 安全 信息 。 系 统 密 钥 (System Key,Syskey) 就 是 用 来 加 密 保存 在 域 控制 器 的 目 
录 服 务 数据 库 中 的 账号 密码 信息 的 。Syskey 一 共有 三 种 工作 模式 。 一 是 所 有 Windows 
Server 2003 中 默认 采用 的 ,计算 机 随机 产生 一 个 系统 密 钥 ,并 将 密 钥 加 密 后 保存 在 本 地 。 
在 这 种 模式 中 ,可 以 像 平时 一 样 地 登录 本 地 计算 机 。 二 是 系统 密 钥 使 用 和 模式 一 中 的 生 
成 方式 和 存储 方式 相同 ,但 是 它 使 用 一 个 由 管理 员 指 定 的 附加 密码 以 提供 更 进一步 的 安 
全 性 。 当 重新 启动 计算 机 时 ,必须 在 启动 的 时 候 输入 管理 员 指 定 的 附加 密码 ,这 个 密码 
不 保存 在 本 地 。 三 是 安全 性 最 高 的 操作 方法 ,计算 机 随机 产生 的 系统 密 钥 将 被 保存 在 一 
张 软盘 上 ,而 不 是 本 地 计算 机 。 如 果 没 有 软盘 的 物理 访问 权限 ,并 在 系统 提示 时 插入 该 
软盘 ,就 无 法 引导 系统 。 保 护 域 控制 器 是 网 络 安全 策略 中 的 重要 一 步 。 


1.3.3 IPSec 策略 


IPSec 策略 是 安全 联网 的 长 期 方向 。 它 通过 端 到 端的 安全 性 来 提供 主动 的 保护 ,为 
防止 专用 网 与 Internet 的 攻击 提供 了 主要 防线 ,在 源 IP 地 址 和 目标 IP 地 址 之 间 建 立信 
任 和 安全 性 。IPSec 策略 由 常规 IPSec 策略 设置 和 IPSec 策略 规则 组 成 。 由 于 在 IP 协议 
设计 之 初 并 没 过 多 考虑 安全 问题 ,因此 早期 的 网 络 中 经 常 发 生 遭 受 攻击 或 机 密 数据 被 窍 
取 等 问题 。 为 了 增强 网 络 的 安全 性 ,IP 安全 (IPSec) 协 议 应 运 而 生 。 

为 了 增强 网 络 通信 安全 或 对 客户 机 器 的 管理 ,网 络 管理 员 可 以 通过 在 Windows 系 
统 中 定义 IPSec 安全 策略 来 实现 。 一 个 IPSec 安全 策略 由 IP 筛选 器 和 筛选 器 操作 两 部 
分 构成 ,其 中 IP 筛选 器 决定 哪些 报 文 应 当 引 起 IPSec 安全 策略 的 关注 ,筛选 器 操作 是 指 
“允许 ”还 是 “拒绝 ” 报 文 的 通过 。 要 新 建 一 个 IPSec 安全 策略 ,一 般 需 要 新 建 IP 筛选 器 和 

基于 IP 的 网 络 通信 技术 没有 内 建 的 安全 机 制 。 随 着 互联 网 的 发 展 ,安全 问题 逐渐 
暴露 出 来 。 现 在 经 过 各 个 方面 的 努力 ,标准 的 安全 架构 也 已 经 基本 形成 。 那 就 是 IPSec 
机 制 ,并 且 它 将 作为 下 一 代 IP 网 络 标准 IPv6 的 重要 组 成 。IPSec 机 制 在 新 一 代 的 操作 
系统 中 已 经 得 到 了 很 好 的 支持 。 在 Windows Server 2003 系统 中 ,其 服务 器 产品 和 客户 
端 产品 都 提供 了 对 IPSec 的 支持 。 从 而 增强 了 安全 性 、 可 伸缩 性 以 及 可 用 性 ,同时 使 部 署 
和 管理 更 加 方便 。 在 Windows Server 2003 系统 的 安全 策略 相关 的 管理 工具 集 ( 如 本 地 
安全 策略 , 域 安全 策略 .组 策略 等 ) 中 ,都 集成 了 相关 的 管理 工具 。 用 户 可 以 根据 情况 来 
添加 、 修 改 和 删除 相应 的 IP 安全 策略 。 其 中 Windows Server 2003 系统 自 带 的 策略 
如 下 。 
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(1) 采用 IPSec 加 密 数据 通信 的 方法 适用 于 企业 网 应 用 ,通过 部 署 组 策略 可 以 强制 
网 络 中 的 所 有 计算 机 使 用 IPSec 加 密 通 信 。 当 然 这 种 严格 地 限制 会 带 来 一 些 不 便 ,不 过 
对 于 系统 安全 来 说 是 值得 的 。 

(2) IPSec 还 可 以 应 用 于 VPN 技术 中 ,在 这 里 可 以 对 IP 隧道 中 的 数据 流 进 行 加 密 。 
对 于 不 方便 大 范围 实施 IPSec 的 环境 ,可 以 考虑 采用 VPN 技术 。VPN 技术 是 目前 实现 
端 对 端 安全 通信 的 最 佳 解决 方案 。 


1.3.4 配置 连接 请 求 策略 


对 于 企业 网 络 ,需要 为 一 些 远 程 拨号 的 用 户 提供 拨号 接 人 服务 。 远 程 拨号 访问 实际 
上 是 通过 低速 的 拨号 连接 来 将 远程 计算 机 接 和 人 到 企业 内 部 的 局 域 网 中 。 由 于 这 个 连接 
无 法 隐藏 ,因此 常常 成 为 黑客 人 侵 内 部 网 络 的 最 佳人 口 。 对 于 基于 Windows Server 
2003 的 远程 访问 服务 器 来 说 ,默认 情况 下 将 允许 具有 拨 入 权限 的 所 有 用 户 建立 连接 。 因 
此 ,安全 防范 的 第 一 步 就 是 合理 地 严格 地 设置 用 户 账 户 的 拨 入 权限 ,严格 限制 氢 入 权限 
的 分 配 范围 ,只 要 不 是 必要 的 就 不 给 予 此 权限 。 对 于 网 络 中 的 一 些 特殊 用 户 和 固定 的 分 
支 机 构 的 用 户 来 说 ,可 通过 回 拨 技 术 来 提高 网 络 安全 性 ,这 样 就 需要 开通 来 电 显示 业 务 。 

在 Windows Server 2003 网 络 中 ,如 果 活 动 目 录 工 作 在 Native-mode 下 ,这 时 就 可 以 
通过 存储 在 访问 服务 器 上 或 Internet 验证 服务 器 上 的 远程 访问 策略 来 管理 。 针 对 各 种 
应 用 场景 的 不 同 ,可 以 设置 多 种 不 同 的 策略 。 


1.3.5 防火 墙 策略 


防火 墙 是 网 络 安全 的 屏障 。ISA Server 防火 墙 是 建立 在 Windows 操作 系统 上 的 一 
种 可 扩展 的 企业 级 防火 墙 , 支 持 两 个 层级 的 策略 : 阵列 级 策略 和 企业 级 策略 。 

阵列 级 策略 包括 站 点 和 内 容 规则 、 协 议 规则 、IP 数据 包 筛 选 器 Web 发 布 规则 和 服 
务 器 发 布 规则 。 修 改 阵列 配置 时 ,该 阵列 内 所 有 的 ISA Server 计算 机 也 都 会 被 修改 , 包 
括 所 有 的 访问 策略 和 缓存 策略 。 

企业 级 策略 进一步 体现 了 集中 式 管理 , 它 允 许 设置 一 项 或 多 项 应 用 于 企业 网 阵列 的 
企业 策略 。 企 业 级 策略 包括 站 点 和 内 容 规 则 ,以 及 协议 规则 。 企 业 级 策略 可 用 于 任何 阵 
列 ,而 且 可 通过 阵列 自己 的 策略 进行 扩充 。Windows Server 2003 支持 ISA Server 2000， 
但 要 安装 补丁 ,为 ISA Server 升级 。 


1.3.6 组 策略 


Windows Server 2003 组 策略 和 安全 模板 组 策略 用 于 从 一 个 单独 的 点 对 多 个 
Microsoft Active Directory 目录 服务 用 户 和 计算 机 对 象 进行 配置 。 在 默认 情况 下 ,策略 
不 仅 影 响应 用 该 策略 的 容器 中 的 对 象 ,还 影响 子 容器 中 的 对 象 。 组 策略 包含 了 “计算 机 
配置 ">“Windows 设置 ">“ 安 全 设置 "下 的 安全 设置 。 应 用 组 策略 可 自动 更 新 ,但 为 了 
立即 启动 更 新 过 程 ,可 在 命令 提示 符 下 使 用 GPUpdate 命令 ,启用 “安全 配置 和 分 析 ”。 
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在 Windows Server 2003 网 络 中 ,还 有 一 种 非常 有 效 的 防范 黑客 入侵 和 管理 朴 忽 的 
辅助 手段 ,这 就 是 利用 "* 受 限制 的 组 ?安全 策略 。 该 策略 可 保证 组 成 员 的 组 成 固定 。 首 
先 , 在 域 安全 策略 的 管理 工具 中 添加 要 限制 的 组 ,在 “组 ”对 话 框 中 输入 或 查找 要 添加 的 
组 。 一 般 要 对 管理 员 组 等 特权 组 的 成 员 加 以 限制 。 其 次 ,要 配置 这 个 受 限制 的 组 的 成 
员 。 在 这 里 选择 受 限制 的 组 的 “安全 性 ”选项 。 然 后 ,就 可 以 管理 这 个 组 的 成 员 组 成 ,可 
以 添加 或 删除 成 员 , 当 安全 策略 生效 后 ,可 防止 黑客 将 后 门 账户 添加 到 该 组 中 。 


1.3.7 软件 限制 策略 


软件 限制 策略 可 以 标识 软件 并 控制 它 在 本 地 计算 机 、 组 织 单位 、 域 或 站 点 中 的 运行 
能 力 。 可 以 帮助 计算 机 防范 电子 邮件 病毒 。 使 用 软件 限制 策略 , 先 要 进行 创建 ,为 软件 
限制 策略 创建 单独 的 组 策略 对 象 。 如 果 应 用 策略 设置 后 遇 到 了 问题 ,以 安全 模式 重新 启 
动 计算 机 操作 系统 。 


1.4 系统 漏洞 


系统 漏洞 又 被 称 为 "安全 缺陷 ?或 者 “系统 BUG”, 同 时 也 成 为 黑客 为 了 达到 他 们 的 攻 
击 目的 而 寻找 的 一 个 攻击 入口 。 据 统计 ,一 台 未 打 补 丁 的 系统 , 接 人 互联 网 后 ,不 到 2 分 
钟 就 会 受到 各 种 漏洞 所 攻击 ,并 导致 计算 机 中 毒 或 崩溃。 

从 各 种 信息 资源 中 ,人 们 或 许 已 经 对 网 络 * 漏 洞 ? 这 个 概念 有 了 一 些 感性 的 了 解 。 其 
实 ,“ 漏 洞 ”并非 一 个 物理 上 的 概念 。 漏 洞 是 指 程序 在 设计 、 实 现 或 运行 操作 上 的 错误 ,而 
被 黑客 用 来 获取 信息 ,取得 用 户 权限 、 取 得 系统 管理 员 权 限 或 破坏 系统 。 但 是 关于 网 络 
漏洞 ,目前 还 没有 一 个 准确 统一 的 定义 。 一 个 较为 通俗 的 网 络 漏洞 的 描述 性 定义 是 : 存 
在 于 计算 机 网 络 系 统 中 的 、 可 能 对 系统 中 的 组 成 和 数据 造成 损害 的 一 切 因 素 。 当 对 系统 
的 各 种 操作 与 系统 的 安全 策略 发 生 冲 突 时 ,就 产生 了 安全 漏洞 。 也 可 以 解释 为 : 计算 机 
系统 是 由 若干 描述 实体 配置 的 当前 状态 所 组 成 ,可 分 为 授权 状态 和 非 授权 状态 、 易 受 攻 
击 状态 和 不 易 受 攻击 状态 ,漏洞 就 是 状态 转变 过 程 中 能 导致 系统 受 损 的 , 易 受 攻击 状态 
的 特征 。 以 上 说 法 ,都 是 从 不 同 的 专业 角度 对 网 络 漏洞 进行 的 描述 ,但 并 没有 给 出 一 个 
全 面 的 ,准确 的 定义 。 总 之 ,在 计算 机 安全 领域 ,网 络 漏洞 就 是 指 网 络 的 脆弱 性 问题 。 


1.4.1 漏洞 扫描 系统 工作 原理 


漏洞 扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 。 通 过 使 用 漏洞 扫 
描 器 ,系统 管理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP 端口 的 分 配 、 提 供 的 服务 
Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet 上 的 安全 漏洞 。 从 而 在 计算 机 网 
络 系统 安全 保卫 战 中 做 到 "有的放矢 ”, 及 时 修补 漏洞 ,构筑 坚固 的 安全 长 城 。 漏 洞 扫描 
器 属于 主动 的 探测 行为 , 即 向 对 方 主机 发 送 包 含 漏 洞 探 测 码 的 数据 包 , 然 后 等 待 对 方 的 
反应 ,根据 对 方 的 反应 与 漏洞 特征 码 比较 来 判断 漏洞 是 否 存在 。 实 现 漏洞 扫描 器 本 质 上 
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只 需要 实现 三 个 部 分 : 发 送 数据 包 构 件 、 接 收 数据 包 构 件 和 漏洞 特征 码 数据 库 。 系 统 漏 
洞 是 一 个 全 世界 都 在 关注 的 话题 。 因 为 系统 漏洞 给 计算 机 的 安全 带 来 了 很 大 的 隐患 ,但 
是 系统 漏洞 的 产生 却 很 难 避 免 。 这 是 因为 随 着 软件 复杂 度 的 提高 ,给 管理 和 检测 都 带 来 
了 很 大 难题 。 有 的 漏洞 的 产生 是 由 于 程序 员 的 粗心 大 意 或 者 考虑 不 周 引起 的 ,有 的 系统 
漏洞 却 是 由 于 软件 模块 之 间 的 配合 衔接 引起 的 。 这 些 漏洞 都 令 人 防不胜防 。 所 以 至 今 ， 
对 系统 漏洞 仍然 没有 有 效 的 避免 方法 ,世界 上 每 天 都 会 发 现 大 量 的 系统 漏洞 。 既 然 系 统 
漏洞 难以 避免 ,那么 如 何 扫描 系统 漏洞 便 成 了 当务之急 。 现 今 发 展 出 来 的 系统 漏洞 扫描 
的 办 法 主要 有 两 种 : 一 是 根据 系统 漏洞 的 情况 对 系统 进行 攻击 ,以 此 来 判定 系统 漏洞 的 
存在 ; 二 是 根据 系统 中 相关 软件 的 版 本 号 来 判定 系统 中 存在 的 漏洞 。 系 统 漏洞 扫描 框架 
如 图 1.1 所 示 。 


| 


-十 


任务 管理 
报告 管理 
插件 管理 
Web 服 务 器 


扫描 服务 器 


1 
1 
1 
1 
1 
1 
! 
扫描 服务 器 |! 
1 
1 
1 
1 
1 
1 
1 
1 


图 1.1 系统 漏洞 扫描 框架 


扫描 系统 有 三 种 最 基本 的 功能 : 发 现 一 个 主机 和 网 络 的 能 力 ; 一 旦 发 现 一 台 主 机 ， 
即 有 发 现 什 么 服务 正 运 行 在 这 台 主 机 上 的 能 力 ; 通过 测试 这 些 服务 , 即 有 发 现 这 些 漏洞 
的 能 力 。 扫 描 器 对 Internet 安全 很 重要 ,因为 它 能 揭示 一 个 网 络 的 弱点 。 在 任何 一 个 现 
有 的 平台 上 都 有 几 百 个 熟知 的 安全 弱点 。 在 大 多 数 情况 下 ,这 些 弱 点 都 是 唯一 的 , 仅 影 
响 一 个 网 络 服务 。 人 工 测试 单 台 主 机 的 弱点 是 一 项 极 烦 琐 的 工作 ,而 扫描 程序 能 轻易 地 
解决 这 些 问 题 。 扫 描 程 序 开发 者 利用 可 得 到 的 常用 攻击 方法 并 把 它们 集成 到 整个 扫描 
中 ,这 样 使 用 者 就 可 以 通过 分 析 输 出 的 结果 发 现 系统 的 漏洞 。 扫 描 器 一 般 采 用 模拟 攻击 
的 形式 对 网 络 上 目标 计算 机 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检查 ,目标 可 以 是 工作 
站 、 服 务 器 、 交 换 机 ,数据库 应 用 等 各 种 对 象 ,然后 根据 扫描 结果 向 系统 管理 员 提 供 周 密 
可 靠 的 安全 性 分 析 报 告 ,为 提高 网 络 安全 整体 水 平 产生 重要 依据 。 在 网 络 安全 体系 中 ， 
安全 扫描 工具 具有 花费 低 、 效 果 好 、 见 效 快 、 与 网 络 的 运行 相 独立 、 安 装运 行 简单 等 优点 。 
可 以 大 大 减少 网 络 管理 员 操 作 的 复杂 性 ,有 利于 网 络 的 安全 和 稳定 。 


1.4.2 漏洞 扫描 技术 的 实现 
用 手工 进行 扫描 时 需要 熟悉 相关 的 网 络 命 令 , 并 且 能 够 对 命令 执行 后 的 输出 进行 分 
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析 。 下 面 介绍 端口 扫描 分 析 涉 及 的 几 个 常用 网 络 命令 。 

(1) Host 命令 : 这 是 一 个 UNIX 命令 ,Host 命令 的 危险 性 相当 大 ,这 个 命令 的 执行 
结果 所 得 到 的 信息 十 分 多 。 包 括 操作 系统 、 机 器 和 网 络 的 很 多 数据 。 任 何人 都 能 通过 在 
命令 行 中 输入 一 个 命令 ,就 能 收集 到 一 个 域 中 的 所 有 计算 机 的 重要 信息 ,而 且 只 需要 几 
秒 钟 的 时 间 。 

(2) Showmount 命令 : 该 命令 可 以 发 现 远程 主机 的 一 些 非常 有 用 的 信息 。 通 过 加 
入 -e 命 令 选项 ,Showmount 命令 可 以 提供 指定 目标 上 所 有 对 外 目录 的 清单 。 

(3) Rusers 和 Finger 都 是 UNIX 命令 。 通 过 这 两 个 命令 ,能 收集 到 目标 计算 机 上 的 
有 关 用 户 的 消息 。 这 个 命令 能 显示 用 户 的 状态 ,该 命令 是 建立 在 客户 /服务 模型 之 上 的 。 
用 户 通过 客户 端 软件 向 服务 器 请 求 信息 ,然后 解释 这 些 信息 ,提供 给 用 户 。 在 服务 器 上 
一 般 运行 一 个 称 为 Fingerd 的 程序 ,根据 服务 器 的 配置 ,能 向 客户 提供 某 些 信息 。 如 果 考 
虑 到 保护 这 些 个 人 信息 的 话 , 有 可 能 许多 服务 器 不 提供 这 个 服务 ,或 者 只 提供 一 些 无 关 
的 信息 。 

(4) Ping 命令 经 常用 来 对 TCP/IP 网 络 进行 诊断 。 通 过 目标 计算 机 发 送 一 个 数据 
包 , 让 它 将 这 个 数据 包 返 送 回来 。 如 果 返 回 的 数据 包 和 发 送 的 数据 包 一 致 , 那 就 说 明 
Ping 命令 成 功 了 。 通 过 这 样 对 返回 的 数据 进行 分 析 , 就 能 判断 计算 机 是 否 开 着 ,或 者 这 
个 数据 包 从 发 送 到 返回 需要 多 少时 间 。 

利用 上 述 有 用 的 网 络 命令 ,可 收集 到 许多 有 用 的 信息 。 例 如 ,一 个 域 中 的 名 字 服 务 
器 的 地 址 ,一 台 计算 机 上 的 用 户 名 ,一 台 服 务 器 上 正在 运行 什么 服务 ,这 个 服务 是 哪个 软 
件 提供 的 ,计算 机 上 运行 的 是 什么 操作 系统 。 如 果 知 道 目标 计算 机 上 运行 的 操作 系统 和 
服务 应 用 程序 后 ,就 能 利用 已 经 发 现 的 漏洞 来 进行 攻击 。 如 果 目 标 计算 机 的 网 络 管理 员 
没有 对 这 些 漏洞 及 时 修补 的 话 , 入 侵 者 就 能 轻而易举 地 间 入 该 系统 ,获得 管理 员 权 限 ,并 
留 下 后 门 。 如 果 和 人 侵 者 得 到 目标 计算 机 上 的 用 户 名 后 ,能 使 用 口令 破解 软件 。 多 次 试图 
登录 目标 计算 机 ,经 过 尝试 后 ,就 有 可 能 进入 目标 计算 机 。 得 到 了 用 户 名 ,就 等 于 得 到 了 
一 半 的 进入 权限 , 剩 下 的 只 是 使 用 软件 进行 攻击 而 已 。 


1.4.3 TCP/IP 相关 问题 


典型 的 扫描 器 是 TCP 端口 扫描 器 。 这 种 程序 可 以 选择 TCP/IP 端口 和 服务 ,并 记录 
目标 主机 的 回答 。 通 过 这 种 方法 ,可 以 搜集 到 关于 目标 主机 的 有 用 信息 。 而 UNIX 平 台 
下 的 扫描 器 一 般 用 于 观察 某 一 服务 是 否 正 在 一 台 远程 机 器 上 正常 工作 。 它 们 并 不 是 通 
常 意义 上 的 TCP/IP 扫描 器 ,但 也 可 用 于 收集 目标 主机 的 信息 。 下 面 介绍 端口 扫描 技术 
涉及 的 一 些 TCP/IP 方面 的 关键 内 容 。 

(1) 连接 端 及 标志 : IP 地 址 和 端口 被 称 为 套 接 字 , 它 代表 TCP 连接 的 一 个 连接 端 。 
为 了 获得 TCP 服务 ,必须 在 发 送 机 的 一 个 端口 上 和 接收 机 的 一 个 端口 上 建立 连接 。 
TCP 连接 用 两 个 连接 端 来 区 别 , 也 就 是 连接 端 1 和 连接 端 2。 连 接 端 互相 发 送 数据 包 。 
一 个 TCP 数据 包 包 括 一 个 TCP 头 ,后 面 是 选项 和 数据 。 一 个 TCP 头 包含 6 个 标志 位 。 
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它们 的 意义 分 别 如 下 。 

SYN: 用 来 建立 连接 ,让 连接 双方 同步 序列 号 。 如 果 SYN=1 而 ACK 王 0, 则 表示 该 
数据 包 为 连接 请 求 ; 如 果 SYN=1 而 ACK=1 则 表示 接受 连接 。 

FIN: 表示 发 送 端 已 没有 数据 要 求 传输 了 ,希望 释放 连接 。 

RST: 用 来 复位 一 个 连接 。RST 标志 位 置 位 的 数据 包 称 为 复位 包 。 一 般 情况 下 ,如 
果 TCP 收 到 的 一 个 分 段 明 显 不 是 属于 该 主机 上 的 任何 一 个 连接 , 则 向 远 端 发 送 一 个 复 
位 包 。 

URG: 为 紧急 数据 标志 位 。 如 果 URG 王 1, 表 示 本 数据 包 中 包含 紧急 数据 。 此 时 紧 
急 数据 指针 有 效 。 

ACK: 为 确认 标志 位 。 如 果 ACK=1, 表 示 包 中 的 确认 号 是 有 效 的 。 否 则 , 包 中 的 确 
认 号 无 效 。 

PSH: 如 果 置 位 ,接收 端 应 尽快 把 数据 传送 给 应 用 层 。 

(2) TCP 连接 的 建立 : TCP 是 一 个 面向 连接 的 可 靠 传输 协议 。 面 向 连接 表示 两 个 
应 用 端 在 利用 TCP 传送 数据 前 必须 先 建立 TCP 连接 。TCP 的 可 靠 性 通过 校 验 和 定时 
器 .数据 序号 和 应 答 来 提供 。 通 过 给 每 个 发 送 的 字 节 分 配 一 个 序号 ,接收 端 接 收 到 数据 
后 发 送 应 答 ,TCP 协议 保证 了 数据 的 可 靠 传 输 。 数 据 序 号 用 来 保证 数据 的 顺序 ,剔除 重 
复 的 数据 。 在 一 个 TCP 会 话 中 ,有 两 个 数据 流 ( 每 个 连接 端 从 另外 一 端 接收 数据 ,同时 
向 对 方 发 送 数据 ) ,因此 在 建立 连接 时 ,必须 要 为 每 一 个 数据 流 分 配 ISN (初始 序号 ) 。 大 
部 分 TCP/IP 实现 遵循 以 下 原则 : 

@ 当 一 个 SYN 或 者 FIN 数据 包 到 达 一 个 关闭 的 端口 时 ,TCP 丢弃 数据 包 同 时 发 送 
一 个 RST 数据 包 ; 

@ 当 一 个 RST 数据 包 到 达 一 个 监听 端口 时 ,RST 被 丢弃 ; 

@ 当 一 个 RST 数据 包 到 达 一 个 关闭 的 端口 时 ,RST 被 丢弃 ; 

@ 当 一 个 包含 ACK 的 数据 包 到 达 一 个 监听 端口 时 ,数据 包 被 丢弃 ,同时 发 送 一 个 
RST 数据 包 ; 

@@ 当 一 个 SYN 位 关闭 的 数据 包 到 达 一 个 监听 端口 时 ,数据 包 被 丢弃 ; 

@ 当 一 个 SYN 数据 包 到 达 一 个 监听 端口 时 ,正常 的 三 阶段 握手 继续 ,回答 一 个 
SYN、ACK 数据 包 ; 

@ 当 一 个 FIN 数据 包 到 达 一 个 监听 端口 时 ,数据 包 被 丢弃 。“FIN 行为 "( 关 闭 的 端 
口 返回 RST, 监 听 端 口 丢 弃 包 ) ,在 URG、PSH 标志 位 置 位 时 同样 要 发 生 。 所 有 的 URG、 
PSH 和 FIN ,或 者 没有 任何 标志 的 TCP 数据 包 都 会 引起 “FIN 行为 ”。 


1.4.4 全 TCP 连接 扫描 和 TCP SYN 扫描 技术 


1. 全 TCP 连接 扫描 
这 是 最 基本 的 TCP 扫描 ,实现 方法 最 简单 。 直 接连 接 到 目标 端口 并 完成 一 个 完整 
的 三 次 握手 过 程 (SYN、.SYN/ACK 和 ACK)。 操 作 系 统 提 供 的 Connect() 系 统 调用 ,用 
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来 与 每 一 个 感 兴 趣 的 目标 计算 机 的 端口 进行 连接 。 如 果 端 口 处 于 监听 状态 ,那么 
Connect() 就 能 成 功 ; 否则 ,这 个 端口 是 不 能 用 的 , 即 没 有 提供 服务 。 这 个 技术 的 一 个 最 
大 优点 是 不 需要 任何 权限 ,系统 中 的 任何 用 户 都 可 以 使 用 这 个 调用 。 另 一 个 好 处 就 是 速 
度 , 如 果 对 每 个 目标 端口 以 线性 的 方式 ,使 用 单独 的 Connect() 调 用 ,那么 将 会 花费 相当 
长 的 时 间 。 可 以 通过 同时 打开 多 个 套 接 字 , 从 而 加 速 扫描 。 使 用 非 阻 塞 1/O 允许 设置 一 
个 低 的 时 间 用 尽 周期 ,同时 观察 多 个 套 接 字 。 这 种 扫描 方法 的 缺点 是 很 容易 被 目标 系统 
检测 到 ,并 且 被 过 滤 掉 。 目 标 计 算 机 的 日 志文 件 会 显示 大 量 密集 的 连接 和 连接 出 错 的 消 
息 记 录 , 并 且 能 很 快 地 使 它 关 闭 。Courtney、Gabriel 和 TCP Wrapper 监测 程序 通常 用 来 
进行 监测 。 另 外 TCP Wrapper 可 以 对 连接 请 求 进行 控制 ,所 以 它 可 以 用 来 阻止 来 自 不 
明 主 机 的 全 TCP 连接 扫描 。 
2. TCP SYN 扫描 


在 这 种 技术 中 ,扫描 主机 向 目标 主机 的 选择 端口 发 送 SYN 数据 段 。 如 果 应 答 是 
RST ,那么 说 明 端口 是 关闭 的 。 按 照 设 定 监听 其 他 端口 ,如 果 应 答 中 包含 SYN 和 ACK， 
说 明 目 标 端口 处 于 监听 状态 。 由 于 在 SYN 扫描 时 ,全 连接 尚未 建立 ,所 以 这 种 技术 通常 
被 称 为 半 打 开 扫描 。SYN 扫描 的 优点 在 于 即使 日 志 中 对 扫描 有 所 记录 ,但 是 尝试 进行 连 
接 的 记录 也 要 比 全 扫描 少 得 多 ; 缺点 是 在 大 部 分 操作 系统 下 ,发 送 主 机 需要 构造 适用 于 
这 种 扫描 的 IP 包 。 并 且 在 通常 情况 下 必须 要 有 超级 用 户 权 限 才 能 建立 自己 的 SYN 数 
据 包 。 

3. 利用 ICMP 协议 的 扫描 技术 

Ping 就 是 利用 ICMP 协议 实现 的 。 在 扫描 技术 中 可 以 利用 ICMP 协议 最 基本 的 用 
途 : 报错 。 根据 网 络 协 议 , 如 果 协 议 出 现 了 错误 ,那么 接收 端 将 产生 一 个 ICMP 的 错误 报 
文 。 这 些 错 误 报 文 并 不 是 主动 发 送 的 ,而 是 由 于 错误 ,根据 协议 自动 产生 。 当 IP 数据 报 
出 现 Checksum 和 版 本 错误 时 ,目标 主机 将 抛弃 这 个 数据 报 ; 如 果 是 Checksum 出 现 错 
误 ,那么 路 由 器 就 会 直接 丢弃 这 个 数据 报 。 可 以 利用 下 面 这 些 特性 : 

(1) 向 目标 主机 发 送 一 个 只 有 全 头 的 卫 数据 包 , 目 标 将 返回 Destination Unreachable 
的 ICMP 错误 报 文 。 

(2) 向 目标 主机 发 送 一 个 坏 IP 数据 报 ,如 不 正确 IP 头 长 度 。 目标 主机 将 返回 
Parameter Problem 的 ICMP 错误 报 文 。 

(3) 当 数据 包 分 片 但 却 没有 给 接收 端 足够 的 分 片 。 接 收 端 分 片 组 装 超时 会 发 送 分 片 
组 装 超时 的 ICMP 数据 报 。 向 目标 主机 发 送 一 个 IP 数据 报 ,但 是 协议 项 是 错误 的 ,如 协 
议 项 不 可 用 ,那么 目标 将 返回 Destination Unreachable 的 ICMP 报 文 。 但 是 如 果 是 在 目 
标 主机 前 有 一 个 防火 墙 或 者 一 个 其 他 的 过 滤 装 置 , 可 能 过 滤 掉 提出 的 要 求 , 从 而 接收 不 
到 任何 回应 。 可 以 使 用 一 个 非常 大 的 协议 数字 来 作为 IP 头 部 的 协议 内 容 , 而 且 这 个 协 
议 数字 还 没有 被 使 用 。 主 机 一 定 会 返回 Unreachable。 如 果 没 有 Unreachable 的 ICMP 
数据 报 返回 错误 提示 ,那么 就 说 明 被 防火 墙 或 者 其 他 设备 过 滤 了 。 可 以 用 这 个 办 法 来 探 
测 是 否 有 防火 墙 或 者 其 他 过 滤 设 备 存在 。 利 用 IP 的 协议 项 来 探测 主机 正在 使 用 哪些 协 
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议 , 可 以 把 IP 头 的 协议 项 改变 。 因 为 是 8 位 的 ,有 256 种 可 能 。 通 过 目标 返回 的 ICMP 
错误 报 文 , 来 判断 哪些 协议 在 使 用 。 如 果 返 回 Destination Unreachable ,那么 主机 是 没有 
使 用 这 个 协议 的 。 相 反 , 如 果 什 么 都 没有 返回 的 话 , 主 机 可 能 使 用 这 个 协议 ,但 是 也 可 能 
是 防火 墙 等 过 滤 掉 了 。NMAP 的 IP Protocol Scan 也 就 是 利用 这 个 原理 。 利 用 IP 分 片 
造成 组 装 超时 ICMP 错误 消息 ,同样 可 达到 探测 目的 。 当 主机 接收 到 丢失 分 片 的 数据 
报 ,并 且 在 一 定时 间 内 没有 接收 到 丢失 的 数据 报 , 就 会 丢弃 整个 包 。 并 且 发 送 ICMP 分 
片 组 装 超时 错误 给 原 发 送 端 。 可 利用 这 个 特性 制造 分 片 的 数据 包 , 然 后 等 待 ICMP 组 装 
超时 错误 消息 ,可 对 UDP 分 片 , 也 可 对 TCP 甚至 ICMP 数据 包 进行 分 片 , 只 要 不 让 目标 
主机 获得 完整 的 数据 包 就 行 了 。 当 然 ,对 于 UDP 这 种 非 连接 的 不 可 靠 协议 来 说 ,如 果 没 
有 接收 到 超时 错误 的 ICMP 返回 报 文 ,也 有 可 能 是 由 于 线路 或 者 其 他 问题 在 传输 过 程 中 
丢失 了 。 


1.4.5 TCP 扫描 与 间接 扫描 


1. TCP FIN 扫描 

TCP FIN 扫描 对 某 端口 发 送 一 个 TCP FIN 数据 报 给 远 端 主机 ,如 果 主 机 没有 任何 
反馈 ,那么 这 个 主机 是 存在 的 ,而 且 正 在 监听 这 个 端口 ; 如 果 主 机 反馈 一 个 TCP RST 回 
来 ,那么 说 明 该 主机 是 存在 的 ,但 是 没有 监听 这 个 端口 。 由 于 这 种 技术 不 包含 标准 的 
TCP 三 次 握手 协议 的 任何 部 分 ,所 以 无 法 被 记录 下 来 ,从 而 比 SYN 扫描 隐蔽 得 多 。 另 
外 ,FIN 数据 包 能 够 通过 只 监测 SYN 包 的 包 过 滤器 。 这 种 扫描 方法 的 思想 是 关闭 的 端 
口 会 用 适当 的 RST 来 回复 FIN 数据 包 。 另 一 方面 ,打开 的 端口 会 忽略 对 FIN 数据 包 的 
回复 。 这 种 方法 和 系统 实现 有 一 定 的 关系 。 有 的 系统 不 管 端口 是 否 打 开 , 都 回复 RST， 
此 时 这 种 扫描 方法 就 不 适用 了 。 这 种 扫描 技术 使 用 FIN 数据 包 来 监听 端口 。 当 一 个 
FIN 数据 包 到 达 一 个 关闭 的 端口 时 ,数据 包 会 被 丢掉 ,并 且 会 返回 一 个 RST 数据 包 。 否 
则 , 当 一 个 FIN 数据 包 到 达 一 个 打开 的 端口 时 ,数据 包 只 是 简单 的 丢掉 (不 返回 RST) 。 
这 种 技术 通常 适用 于 UNIX 目标 主机 。 跟 SYN 扫描 类 似 ,FIN 扫描 也 需要 自己 构造 
IP 包 。 

2. 间接 扫描 

间接 扫描 的 思想 是 利用 第 三 方 的 IP( 欺 骗 主机 ) 来 隐藏 真正 扫描 者 的 IP。 由 于 扫描 
主机 会 对 欺骗 主机 发 送 回 应 信息 ,所 以 必须 监控 欺骗 主机 的 IP 行 为 ,从 而 获得 原始 扫描 
的 结果 。 假 定 参 与 扫描 过 程 的 主机 为 扫描 机 、 隐 藏 机 、 目 标 机 。 扫 描 机 和 目标 机 的 角色 
非常 明显 。 隐 藏 机 是 一 个 非常 特殊 的 角色 。 在 扫描 机 扫描 目标 机 时 , 它 不 能 发 送 除 了 与 
扫描 有 关 包 以 外 的 任何 数据 包 。 


1.4.6 ”认证 扫描 和 FTP 返回 攻击 的 利用 
1. 认证 扫描 
认证 扫描 能 够 获取 监听 端口 进程 的 特征 和 行为 。 利 用 认证 协议 的 扫描 器 能 够 获取 
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运行 在 某 个 端口 上 进程 的 用 户 名 Userid。 认 证 扫描 尝试 与 一 个 TCP 端口 建立 连接 ,如 
果 连 接 成 功 ,扫描 器 发 送 认 证 请 求 到 目的 主机 的 TCP 113 端口 。 认 证 扫描 同时 也 被 称 为 
反 向 认证 扫描 。 因 为 最 初 的 RFC 建议 了 一 种 帮助 服务 器 认证 客户 端的 协议 ,所 以 在 实 
际 的 实现 中 也 考虑 了 反 向 应 用 ( 即 客户 端 认证 服务 器 ) 。 

2. FTP 返回 攻击 

FTP 协议 支持 代理 FTP 连接 选项 。 这 个 选项 允许 一 个 客户 端 同 时 跟 两 个 FTP 服 
务 器 建立 连接 ,然后 在 服务 器 之 间 直 接 传输 数据 。 然 而 ,在 大 部 分 实践 中 ,实际 上 能 使 
FTP 服务 器 发 送 文 件 到 Internet 任何 地 方 ,许多 攻击 正 是 利用 了 这 个 缺陷 ,最 近 的 许多 
扫描 器 利用 这 个 弱点 实现 FTP 代理 扫描 。FTP 端口 扫描 主要 使 用 FTP 代理 服务 器 来 
扫描 TCP 端口 。 这 种 方法 的 优点 是 难以 跟踪 ,能 穿 过 防火 墙 ; 主要 缺点 是 速度 很 慢 , 并 
且 有 的 FTP 服务 器 能 够 发 现 这 些 扫描 代码 ,从 而 关闭 其 代理 功能 。 


1.4.7 其 他 扫描 方法 


1. Ping 扫描 

如 果 需 要 扫描 一 个 主机 上 其 至 整个 子 网 上 的 成 千 上 万 个 端口 。 首 先 判 断 一 个 主机 
是 否 开机 就 非常 重要 了 ,这 就 是 Ping 扫描 器 的 目的 。 主 要 有 两 种 方法 用 来 实现 Ping 
扫描 : 

QO@ 真实 扫描 ,例如 ,发 送 ICMP 请 求 包 给 目标 IP 地 址 ,有 相应 的 返回 就 表示 主机 
开机 。 

@ TCP Ping, 例 如 ,发 送 特 殊 的 TCP 包 给 通常 都 打开 且 没 有 过 滤 的 端口 (如 80 端 
口 ) ,对 没有 超级 用 户 权 限 的 扫描 者 ,使 用 标准 的 Connect 来 实现 。 否 则 ,ACK 数据 包 发 
送 给 每 一 个 需要 探测 的 主机 IP, 每 一 个 返回 的 RST 表明 相应 主机 开机 。 另 外 ,一 种 类 似 
于 SYN 扫描 端口 80 也 被 经 常 使 用 。 

2. IP 段 扫 描 

此 方法 只 是 其 他 技术 的 变化 . 它 不 直接 发 送 TCP 探测 数据 包 , 而 是 将 数据 包 分 成 两 
个 较 小 的 IP 段 。 这 样 就 将 一 个 TCP 头 分 成 好 几 个 数据 包 , 从 而 过 滤器 就 很 难 探测 到 。 

3. TCP 反 向 Ident 扫描 

Ident 协议 允许 看 到 通过 TCP 连接 的 任何 进程 的 拥有 者 的 用 户 名 ,即使 这 个 连接 不 
是 由 这 个 进程 开始 的 。 因 此 ,连接 到 HTTP 端口 ,然后 用 Ident 来 发 现 服务 器 是 否 正在 
以 超级 用 户 权限 运行 。 这 种 方法 只 能 在 和 目标 端口 建立 了 一 个 完整 的 TCP 连接 后 才能 
看 到 。 


1.4.8 漏洞 扫描 


漏洞 扫描 是 对 重要 计算 机 信息 系统 进行 检查 ,发现 其 中 可 能 被 黑客 利用 的 漏洞 。 漏 
洞 扫描 的 结果 是 对 系统 安全 性 能 的 一 个 评估 , 它 指 出 了 哪些 攻击 是 可 能 的 ,因此 ,漏洞 扫 
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描 成 为 安全 方案 的 一 个 重要 组 成 部 分 。 目 前 ,漏洞 扫描 ,从 底层 技术 来 划分 ,可 分 为 基于 
网 络 的 漏洞 扫描 和 基于 主机 的 漏洞 扫描 两 种 类 型 。 

1. 基于 网 络 的 漏洞 扫描 

基于 网 络 的 漏洞 扫描 器 是 通过 网 络 来 扫描 远程 计算 机 中 的 漏洞 。 例 如 ,利用 低 版 本 
的 漏洞 ,攻击 者 能 够 获取 权限 侵入 系统 ,或 者 攻击 者 能 够 在 远程 计算 机 中 执行 恶意 代码 。 
使 用 基于 网 络 的 漏洞 扫描 工具 ,能 够 监测 到 这 些 低 版 本 的 是 否 在 运行 。 一 般 来 说 ,基于 
网 络 的 漏洞 扫描 工具 可 以 看 做 一 种 漏洞 信息 收集 工具 , 它 根 据 不 同 漏洞 的 特性 ,构造 网 
络 数 据 包 ,发 给 网 络 中 的 一 个 或 多 个 目标 服务 器 ,以 判断 某 个 特定 的 漏洞 是 否 存在 。 基 
于 网 络 的 漏洞 扫描 器 ,一 般 由 以 下 几 个 方面 组 成 。 

(1) 漏洞 数据 库 模块 : 漏洞 数据 库 包 含 了 各 种 操作 系统 的 各 种 漏洞 信息 ,以 及 如 何 
检测 漏洞 的 指令 。 

(2) 用 户 配 置 控制 台 模块 : 用 户 配置 控制 台 与 安全 管理 员 进 行 交 互 , 用 来 设置 要 扫 
描 的 目标 系统 ,以 及 扫描 哪些 漏洞 。 

(3) 扫描 引擎 模块 : 扫描 引擎 是 扫描 器 的 主要 部 件 。 根 据 用 户 配置 控制 台 部 分 的 相 
关 设 置 ,扫描 引擎 组 装 好 相应 的 数据 包 ,发送 到 目标 系统 ,将 接收 到 的 目标 系统 的 应 答 数 
据 包 ,与 漏洞 数据 库 中 的 漏洞 特征 进行 比较 ,来 判断 所 选择 的 漏洞 是 否 存在 。 

(4) 当前 活动 的 扫描 知识 库 模 块 : 通过 查看 内 存 中 的 配置 信息 ,该 模块 监控 当前 活 
动 的 扫描 ,将 要 扫描 的 漏洞 的 相关 信息 提供 给 扫描 引擎 。 

(5) 结果 存储 器 和 报告 生成 工具 : 报告 生成 工具 ,利用 当前 活动 扫描 知识 库 中 存储 
的 扫描 结果 ,生成 扫描 报告 。 

基于 网 络 的 漏洞 扫描 器 的 价格 相对 来 说 比较 便宜 。 漏 洞 扫描 器 在 操作 过 程 中 ,不 需 
要 涉及 目标 系统 的 管理 员 , 在 检测 过 程 中 ,不 需要 在 目标 系统 上 安装 任何 软件 ,维护 简 
便 。 当 企业 的 网 络 发 生 了 变化 时 ,只 需要 某 个 结 点 就 能 够 扫描 网 络 中 的 全 部 目标 系统 ， 
基于 网 络 的 漏洞 扫描 器 不 需要 进行 调整 。 

2. 基于 主机 的 漏洞 扫描 

基于 主机 的 漏洞 扫描 器 与 基于 网 络 的 漏洞 扫描 器 的 原理 类 似 , 但 是 ,两 者 的 体系 结 
构 不 一 样 。 基 于 主机 的 漏洞 扫描 器 通常 目标 系统 上 安装 了 一 个 代理 或 者 服务 ,以 便 能 够 
访问 所 有 的 文件 与 进程 ,这 也 使 得 基于 主机 的 漏洞 扫描 器 能 够 扫描 更 多 的 漏洞 。 基 于 主 
机 的 漏洞 扫描 具有 如 下 优点 。 

(1) 扫描 的 漏洞 数量 多 。 由 于 通常 在 目标 系统 上 安装 了 一 个 代理 或 者 服务 ,以 便 能 
够 访问 所 有 的 文件 与 进程 ,这 也 使 得 基于 主机 的 漏洞 扫描 器 能 够 扫描 更 多 的 漏洞 。 

(2) 集中 化 管理 。 基 于 主机 的 漏洞 扫描 器 通常 都 有 个 集中 的 服务 器 作为 扫描 服务 
器 。 所 有 扫描 的 指令 , 均 从 服务 器 进行 控制 ,这 一 点 与 基于 网 络 的 扫描 器 类 似 。 服 务 器 
从 下 载 到 最 新 的 代理 程序 后 ,再 分 发 给 各 个 代理 。 这 种 集中 化 管理 模式 ,使 得 基于 主机 
的 漏洞 扫描 器 的 部 署 上 ,能够 快速 实现 。 

(3) 网 络 流量 负载 小 。 由 于 管理 器 与 代理 之 间 只 有 通信 的 数据 包 , 漏 洞 扫描 部 分 都 
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有 代理 单独 完成 ,这 就 大 大 减少 了 网 络 的 流量 负载 。 当 扫描 结束 后 ,代理 再 次 与 管理 器 
进行 通信 ,将 扫描 结果 传送 给 管理 器 。 


1.5” 公 钥 体 系 原理 


用 户 A 有 一 对 密 钥 , 分 为 公 钥 和 私 钥 ,这 对 密 钥 是 唯一 的 ,是 通过 对 一 个 巨大 的 素数 
进行 因数 分 解 所 得 到 的 ,用 公 钥 加 密 的 信息 ,只 能 使 用 与 它 配对 的 私 钥 来 解密 ,反之 亦 
然 ,用 私 钥 加 密 过 的 信息 也 只 能 用 公 钥 来 解密 ,这 样 ,A 从 认证 体系 生成 一 对 密 钥 后 ,把 
它 的 私 钥 保 存 好 ,把 公 钥 公 开 出 去 , 当 一 个 用 户 B 要 与 A 通信 ,又 想 确 保 数据 安全 时 ,就 
可 以 使 用 A 的 公 钥 来 加 密 信 息 , 再 把 密 文 传 给 A, 因 此 ,这 个 世界 上 只 有 A 手中 的 私 钥 
才能 对 这 个 密 文 进行 解密 ,这 样 就 确保 了 信息 的 安全 。 


实验 1 Windows Server 2003 安全 策略 配置 


一 、 实 验 目的 

通过 实验 ,了 解 Windows Server 2003 的 安全 策略 ,组 策略 .强制 使 用 安全 的 密码 策 
略 ,并 掌握 远程 访问 的 使 用 。 

二 、 实 验 原理 

Windows Server 2003 作为 Microsoft 最 新 推出 的 服务 器 操作 系统 ,不 仅 继承 了 
Windows 2000/XP 的 易 用 性 和 稳定 性 ,而 且 还 提供 了 更 高 的 硬件 支持 和 更 加 强大 的 安全 
功能 ,无 疑 是 中 小 型 网 络 应 用 服务 器 的 首选 。 

提高 密码 的 破解 难度 主要 是 通过 采用 提高 密码 复杂 性 、 增 大 密码 长 度 、 提 高 更 换 频 
率 等 措施 来 实现 ,但 这 常常 是 用 户 很 难 做 到 的 ,对 于 企业 网 络 中 的 一 些 安全 敏感 用 户 就 
必须 采取 一 些 相关 的 措施 ,以 强制 改变 不 安全 的 密码 使 用 习惯 。 

在 Windows Server 2003 系统 中 可 以 通过 一 系列 的 安全 设置 ,并 同时 制定 相应 的 安 
全 策略 来 实现 。 在 Windows Server 2003 系统 中 ,可 以 通过 在 安全 策略 中 的 “密码 策略 ” 
来 进行 设置 。Window Server 2003 系统 的 安全 策略 可 以 根据 网 络 的 情况 ,针对 不 同 的 场 
合 和 范围 进行 有 针对 性 的 设 定 。 例 如 ,可 以 针对 本 地 计算 机 、 域 及 相应 的 组 织 单元 来 进 
行 设 定 ,这 将 取决 于 该 策略 要 影响 的 范围 。 

本 实验 就 针对 Windows Server 2003 在 企业 网 络 应 用 中 系统 账户 和 系统 监控 方面 的 
安全 策略 的 制定 进行 尝试 验证 ,从 而 体会 安全 设置 对 于 Windows Server 2003 系统 稳定 
运行 的 重要 性 ,通过 实验 ,深刻 认识 系统 安全 的 隐蔽 性 和 重要 性 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) PC 一 台 , 用 于 客户 端 测 试 。 

(2) 服务 器 一 台 , 用 于 设置 Windows 安全 策略 。 
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实验 拓扑 图 和 配置 信息 分 别 如 图 1.2 和 表 1.1 所 示 。 


OY 表 1.1 演示 实验 设备 配置 参考 信息 表 
< 四 设备 名 称 IP 地 址 
终端 PC 服务 器 


示例 实验 终端 PC 


示例 实验 Windows Server 2003 服务 器 |192. 168. 1. 251 


192. 168. 1. 100 


图 1.2 实验 拓扑 图 


2. 实验 角色 

本 实验 为 单 人 验证 实验 ,用 于 体验 Windows Server 2003 的 组 策略 设置 。 可 以 通过 
管理 员 账 户 登录 服务 器 设置 组 策略 和 用 于 策略 ,再 用 新 增 用 户 账户 来 验证 实验 。 

3. 实验 步骤 

1) 服务 端 配置 

(1) 启动 远程 连接 。 在 终端 PC 中 ,执行 “开始 ”运行 "命令 ,打开 "运行 ?对 话 框 ， 
在 “打开 ”文本 框 中 输入 "mstsc" 命 令 。 

(2) 连接 远程 服务 器 : 打开 “远程 桌面 连接 "后 ,在 “计算 机 ”文本 框 中 输入 服务 器 的 
IP 地 址 “192. 168. 1. 251”。 

(3) 输入 管理 员 用 户 名 和 密码 登录 服务 器 。 在 服务 器 上 执行 “开始 "一 “运行 "命令 ， 
在 “打开 ”文本 框 中 输入 “gpedit. msc” 命 令 , 打 开 “ 组 策略 编辑 器 "窗口 ,如 图 1. 3 所 示 。 

(4) 在 “组 策略 编辑 器 "窗口 中 展开 “计算 机 配置 ">“Windows 设置 ”>“ 安 全 设置 ”一 
“账户 策略 >“ 密码 策略 ”。 
mm 组 策略 篇 加 器 


文件 @) ”操作 以) 查看 Q) 帮助 人 0 
马 字 | 回国 | 多 荣 本 | 办 田 


“本 地 计算 机 ”第 略 
日 改 计 算 机 配置 
由 ' 回 软件 设置 
日 回 Windows 设置 的 窜 码 最 长 使 用 MPR 0 
其 本 (局 动 /关机 ) | 国 窑 码 景 短 使 用 BR 0 天 
置 鸭 强 制 密码 历史 
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日 国 帐户 第 略 
-全 密码 策略 的 用 可 还 原 的 加 密 来 储存 密码 已 其 用 


由 - 回 Windows 设置 
用 加 管理 模板 


图 1.3 “组 策略 编辑 器 "窗口 


(5) 单 击 “密码 必须 符合 复杂 性 要 求 ”设置 密码 复杂 属性 为 “已 启用 ”, 如 图 1.4 
所 示 。 


人 1 


图 1.4 启用 密码 复杂 性 


(6) 在 左 导 航 栏 选择 “账户 锁定 策略 ?选项 ,在 右边 单 击 * 账 户 锁定 阔 值 ,如 图 1.5 所 示 。 


日 辆 计算 机 配置 复位 帐户 是 定 计数 器 30 分 钟 之 后 
由 - 国 软件 设置 | 帐户 锐 定 时 间 30 分 名 


0 
田 母 图 鞠 曙 一 一 一 一 一 一 一 雪 1 


图 1.5 账户 锁定 阔 值 


(7) 在 “本 地 安全 设置 ?选项 卡 中 ,设置 3? 次 无 效 登 录 就 锁定 ,如 图 1.6 所 示 。 


图 1.6 本 地 安全 设置 


全。 电子 支付 与 信息 安全 实践 教程 


(8) 在 桌面 上 右 击 “我 的 电脑 ”在 弹出 的 快捷 菜单 中 选择 “管理 ”选项 ,打开 “计算 机 
管理 ”窗口 。 

(9) 在 左 导航 栏 展开 “ 本 地 用 户 和 组 >“ 用户”, 在 右 侧 空白 处 右 击 , 在 弹出 的 快捷 菜 
单 中 选择 “新 用 户 ” 选 项 ,如 图 1.7 所 示 。 


局 文件 四 换 作 凶 ， 查看 WW) 窗口 思 帮助 o |=Ialx 
了 | 甸 | 加 | 日 民 | 岛 四 
一 计算 机 管理 林地) 
已 全 系 坊 工具 管理 计算 机 贼 ) 的 内 置 帐户 
由 辆 事件 查看 器 ASPNET ASP. WET 计算 机 帐户 用 于 运行 ASF.NET 辅助 进程 (as 
由 - 因 共享 文件 赤 uest 供 来 宾 访 问 计算 机 或 访问 域 的 内 
日 七 本 地 用 户 和 组 辐 musR_TALE .， Internet 来 亡 帐 户 匿名 访问 Internet 信息 服务 的 
司 用 户 县 mw_rAtz  ， 局 动 TS 进程 帐户 用 于 局 动 进程 外 应 用 程序 的 Int 
图 租 { CR-W erosoft Corpora . 。 这 是 一 个 帮助 和 支持 服务 的 提供 


图 1.7 添加 新 用 户 


(10) 新 用 户 名 设 为 "talent”, 密 码 设 为 "123”, 会 出 现 什 么 现象 ? 

(11) 设置 一 个 较 长 且 复杂 的 密码 ,如 "Shang_Hai_12345”。 (注意 : 密码 有 大 小 写 敏 
感 , 请 重视 。) 

(12) 在 新 创建 的 用 户 上 右 击 选择 “属性 ”选项 ,在 打开 的 “talent 属性 ?对 话 框 中 选择 
“隶属 于 ?选项 卡 , 然 后 把 新 用 户 添 加 到 Remote Desktop Users 组 ,如 图 1. 8 所 示 。( 注 
意 : 把 用 户 添 加 到 此 组 是 为 了 可 以 让 客户 端 远程 连接 服务 器 ) 


”远程 控制 林 
Es 


图 1.8 新 用 户 添加 到 Remote Desktop Users 组 


2) 客户 端 测试 

(1) 在 终端 PC 中 ,执行 “开始 >“ 运行" 命令, 打开 “运行 ”对话 框 ,在 “打开 ”文本 框 
中 输入 “mstsc” 命 令 。 

(2) 打开 “远程 桌面 连接 ”后 ,在 “计算 机 ”文本 框 中 输入 服务 器 的 IP 地 址 “192. 168. 
和 
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(3) 输入 用 户 名 “talent” 和 密码 “Shang_Hai_12345”, 然 后 单 击 “ 连 接 ” 按 钮 ,如 图 1.9 
所 示 。 


图 1.9 远程 连接 到 服务 器 


(4) 如 果 连 接 成 功 , 便 会 进入 服务 器 窗口 。 

(5) 右 击 桌 面 上 的 “网 上 邻居 "图标, 在 快捷 菜单 中 选择 “属性 ”选项 ,然后 在 打开 “网 
上 邻居 ”窗口 中 的 “本 地 连接 "上 右 击 ,在 快捷 菜单 中 选择 “属性 "选项 ,在 打开 “本 地 链接 
属性 ”对 话 框 中 可 以 修改 其 IP 地 址 吗 ? 

(6) 断 开 与 服务 器 的 连接 ,以 用 户 名 为 “talent” 和 密码 为 *12345”, 连 续 进行 三 次 登 
录 , 会 出 现 什 么 情况 ? 

4. 思考 题 

在 “本 地 策略 ”>“ 安 全 选项 ”中 ,有 若干 非常 重要 的 安全 设置 ,请 挑选 至 少 三 个 系统 
安全 设置 进行 配置 ,并 验证 之 。 


实验 2 ”系统 漏洞 扫描 与 评估 


一 、 实 验 目的 

使 用 漏洞 扫描 软件 ,对 系统 对 象 进行 扫描 ,探测 ,获取 目标 系统 的 详细 信息 和 漏洞 ， 
并 试图 加 固 系统 。 

二 、 实 验 原理 

网 络 技术 的 飞速 发 展 , 网 络 规模 迅猛 增长 和 计算 机 系统 日 益 复 杂 , 导 致 新 的 系统 漏 
洞 层出不穷 。 由 于 系统 管理 员 的 牙 忽 或 缺乏 经 验 ,导致 日 的 漏洞 依然 存在 。 许 多 人 出 于 
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好 奇 或 别有用心 ,不 停 地 窥视 网 上 资源 导致 产生 进行 一 次 漏洞 扫描 的 迫切 性 。 因 此 需要 
采取 外 围 的 漏洞 扫描 系统 机 制 来 评估 该 系统 的 安全 性 ,通过 加 固 达 到 安全 运行 环境 的 
目的 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) 终端 PC(Windows Server 2003 系统 ) 一 台 , 打 开 多 个 端口 ,如 Web、FTP、 共 享 
等 ,用 于 被 扫描 端 。 

(2) 软件 工具 : 流光 扫描 工具 。 

(3) IIS、MSSQL 等 服务 程序 (账户 密码 较为 简单 ,存在 漏洞 ) 作 为 扩充 , 非 必要 
部 署 。 

2. 实验 角色 

本 实验 为 单 人 实验 ,每 个 人 在 各 自 的 PC 上 进行 实验 操作 。 通 过 对 本 主机 的 漏洞 扫 
描 以 及 安全 加 固 ,对 比 加 固 前 后 的 扫描 报告 。 

3. 实验 步骤 

1) 浅 层 次 扫描 

(1) 在 PC 桌面 上 运行 流光 扫描 软件 。 

(2) 设 定 扫 描 主 机 :“ 文 件 ” 一 “高 级 扫描 向 导 ”, 打 开设 置 对话 框 ,起 始 地 址 和”* 结 
束 地 址 ? 均 设 为 127.0.0.1( 本 机 ) , 单 击 “ 下 一 步 ?按钮 ,以 后 的 设置 均 取 默 认 值 。 直 到 出 
现 如 图 1. 10 所 示 的 “选择 流光 主机 ”对 话 框 , 单 击 “ 开 始 "按钮 对 本 机 进行 扫描 。 


图 1.10 “选择 流光 主机 ”对 话 框 


(3) 开始 扫描 后 ,在 右边 的 日 志 信息 栏 ,显示 扫描 结果 。 

(4) 扫描 结束 后 ,系统 询问 “是 否 需 要 查看 扫描 报告 ?2”, 单 击 " 是 ”按钮 ,显示 扫描 报告 
(注意 记录 扫描 结果 ) 。 

2) 系统 加 固 尝试 

(1) 在 终端 PC 中 ,执行 “开始 ”>“ 运 行 "命令 ,在 打开 “运行 "对话 框 中 输入 “services. 
msc” 命 令 。 


(2) 单 击 “ 确 定 ” 按 钮 后 ,进入 “服务 ”窗口 ,如 图 1. 11 所 示 。 
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图 1.11 “服务 ”窗口 


(3) 在 “服务 "窗口 中 双击 Server 选项 ,并 停止 该 服务 ,如 图 1. 12 所 示 。 


Server 的 屋 性 (本 地 计算 机 ) 


常规 | 咎 录 | 估 复 。| 侠 存 关系 | 


kd 


可 执行 文件 的 路 径 00); 


FTNDOWSVsysten32ZVsvchost exe -k netsves 


启动 类 型 EE): | 手动 了 


启动 全 
当 从 此 处 局 动 服 : 


局 动 枯 数 吧 


| 
图 1.12 停止 Server 服务 
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(4) 同样 的 方法 ,停止 Computer Browser 服务 和 Distributed File System 服务 。 
3) 复查 系统 

重新 启动 流光 扫描 软件 。 注 意 扫描 结果 与 上 次 扫描 结果 的 不 同 。 

4. 思考 题 

哪些 系统 特征 可 以 被 称 为 系统 漏洞 ,如 何 发 现 ? 发 现 后 ,如 何 填补 ? 


网 络 系统 安全 篇 而 


2.1 引言 


随 着 信息 化 的 普及 和 发 展 ,互联 网 络 已 覆盖 了 社会 政治 、 经 济 \ 文 化 .生活 .生产 的 各 
个 领域 ,网 络 安全 也 越 来 越 成 为 全 社会 关注 的 焦点 ,并 成 为 网 络 发 展 的 重要 课题 。 提 高 
全 社会 网 络 安全 意识 ,是 保障 我 国信 息 化 建设 健康 .稳定 发 展 的 长 期 重点 工作 之 一 。 

网 络 安全 是 指 保护 网 络 中 的 硬件 .软件 及 其 系统 不 受 偶然 的 或 者 恶意 的 破坏 ,更 改 、 
泄露 ,从 而 使 系统 以 及 网 络 服 务 连续 可靠 、 正 常 地 运行 。 

从 网 络 运 行 和 管理 者 角度 来 说 ,人 们 希望 对 本 地 网 络 信 息 的 访问 、 读 写 等 操作 受到 
保护 和 控制 ,避免 出 现 *“ 后 门 ”病毒 ,非法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 和 非法 控 
制 等 威胁 ,制止 和 防御 网 络 黑客 的 攻击 。 

网 络 安全 系统 包括 防火 墙 \ 人 侵 检测 与 防护 、 病 毒 防护 .内容 安全 ,身份 验证 等 部 分 
构成 。 


2.2 网络 安全 


网 络 安全 是 一 个 综合 的 动态 的 安全 体系 , 它 应 该 是 多 种 安全 技术 的 有 机 集成 和 安 
全 产品 之 间 的 联动 。 “安全 事件 的 意义 不 是 局 部 的 .将 安全 事件 及 时 通告 给 相关 的 安全 
系统 ,有 助 于 从 全 局 范围 评估 安全 事件 的 威胁 ,并 在 适当 的 位 置 采取 动作 .” 这 就 是 网 络 
安全 联动 的 理论 基础 。 通 过 联动 机 制 连接 各 功能 模块 ,可 以 对 各 安全 设备 进行 功能 协调 
和 实时 监控 ,根据 网 络 安全 状况 实现 安全 设备 的 配置 和 更 改 , 把 危害 限制 在 最 小 范围 内 ， 
产生 “1 十 1 之 2 的 合力 ,避免 产生 木 桶 效应 。 

网 络 安全 是 一 门 涉及 计算 机 科学 .网络 技术 .通信 技术 、 密 码 技术 .信息 安全 技术 、 应 


且 


子 支付 与 信息 安全 实践 教程 、 


用 数学 .数论 .信息论 等 多 种 学 科 的 综合 性 学 科 , 它 涉及 的 因素 主要 包括 物理 安全 .系统 
安全 、 信 息 安全 和 文件 安全 。 国 际 标准 化 组 织 对 计算 机 系统 安全 的 定义 是 : 为 数据 处 理 
操作 系统 建立 和 采用 的 技术 和 管理 的 安全 保护 ,保护 计算 机 硬件 、 软 件 和 数据 不 因 偶然 
和 恶意 的 原因 唱 到 破坏 、 更 改 和 泄露 。 

网 络 信息 安全 是 一 个 系统 性 概念 ,是 指 为 建立 信息 处 理 系统 而 采取 的 技术 和 管理 上 
的 安全 保护 。 它 包括 了 设备 安全 、 自 动 化 管理 系统 安全 、 各 种 数据 安全 、 网 络 通 信安 全 、 
管理 维护 安全 、 环 境 安 全 等 几 个 方面 ,以 保证 信息 的 完整 性 、 机 密 性 有 效 性 、 可 控 性 和 
可 审查 性 。 信 息 的 完整 性 是 最 基础 的 , 它 要 求 信息 在 存储 、 传 递 . 提 取 整 个 过 程 中 没有 
任何 丢失 或 残缺 现象 ; 信息 的 机 密 性 就 是 要 求 信 息 不 被 他 人 非法 窃取 或 信息 泄露 ; 信 
息 的 有 效 性 则 是 信息 的 一 种 真实 性 ,要 求 信息 能 被 准确 无 误 地 获得 ; 信息 的 可 控 性 则 是 
指 在 网 络 范围 内 对 信息 具有 控制 的 能 力 特性 ; 信息 的 可 审查 性 则 是 指 信 息 交流 过 程 结束 
后 ,交流 双方 要 承认 曾 对 信息 的 操作 ,不 可 否认 做 出 合法 或 非法 操作 。 所 以 要 保障 网 络 
信息 安全 ,就 得 从 几 个 方面 人 手 , 首 先是 硬件 安全 ,就 是 要 保护 网 络 硬件 和 媒体 等 设备 不 
受 自然 损害 ; 其 次 是 软件 安全 , 即 计算 机 及 其 网 络 中 各 种 软件 不 被 自 改 或 破坏 ; 最 后 是 
运行 服务 安全 , 即 网 络 中 各 个 网 络 系统 要 正常 运行 保证 信息 能 顺畅 地 在 各 个 网 络 系统 中 
传递 。 


2.3 影响 网 络 信息 安全 的 因素 


进入 网 络 时 代 后 ,信息 安全 主要 就 是 指 网 络 信息 安全 。 而 网 络 信息 的 开放 性 、 互 联 
性 使 得 网 络 信息 有 着 很 大 的 安全 隐患 。 构 成 信息 安全 的 因素 可 分 为 两 类 ,一 类 是 内 部 因 
素 , 一 类 是 外 部 因素 。 内 部 因素 包括 硬件 因素 .软件 因素 。 外 部 因素 包括 病毒 .主动 攻 
击 、 被 动 攻击 .拒绝 服务 等 方面 。 

1. 硬件 因素 

这 类 因素 一 方面 是 指 受到 自然 环境 对 计算 机 网 络 设备 与 设施 的 影响 , 它 具 有 突 发 
性 .自然 性 ,不 可 抗拒 性 等 特征 ,如 因 地 震 .风暴 、 洪 水、 雷击 等 自然 威胁 造成 的 系统 运行 
异常 ; 另 一 方面 是 指 计算 机 设备 被 人 为 地 损坏 ,出 于 各 种 利益 盗 取 、 破 坏 网 络 设备 等 。 

2. 软件 因素 

这 类 因素 主要 是 由 计算 机 网 络 系统 本 身 的 缺陷 漏洞 造成 的 ,因为 系统 本 身 没 有 及 时 
采取 有 效 的 安全 措施 ,如 重要 文件 没有 及 时 备份 .共享 文件 没有 保护 .系统 安全 保护 配置 
不 合理 等 没有 起 到 应 有 的 作用 造成 网 络 信息 安全 受到 威胁 ,系统 安装 软件 或 软件 升级 没 
有 严格 审核 。 

3. 病毒 因素 

病毒 是 主要 的 威胁 信息 安全 因素 , 它 主要 侵害 系统 数据 区 文件. 内存、 磁盘 等 区 域 ， 
影响 系统 运行 速度 ,干扰 系统 显示 、 降 低 系统 运行 效率 等 ,对 计算 机 系统 造成 严重 影响 ， 
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甚至 使 得 整个 系统 瘫痪 。 

4. 黑客 攻击 

在 Internet 上 ,黑客 组 织 已 经 有 了 公开 的 网 站 ,他 们 提供 免费 的 黑客 软件 和 一 些 黑 
客 手段 。 当 然 , 黑 客 攻 击 也 分 为 两 种 : 一 种 是 破坏 性 活动 ; 另 一 种 是 非 破 坏 性 活动 。 破 
坏 性 主要 是 指 黑客 以 某 种 手段 破坏 信息 的 完整 性 及 有 效 性 ; 非 破坏 性 就 是 黑客 为 了 截 
获 、 窃 取 某 些 重要 的 信息 ,但 是 计算 机 还 是 能 正常 运行 。 黑 客 攻击 是 信息 安全 问题 最 为 
严重 的 一 方面 。 

5. 拒绝 服务 因素 

拒绝 服务 是 指 某 些 人 不 断 地 对 服务 器 进行 攻击 干扰 使 其 不 能 正常 工作 ,执行 一 些 
无 关 的 程序 , 减 慢 系统 运行 速度 ,甚至 崩溃 无 法 运行 ,如 DOS 攻击 。 

6. 缓冲 区 溢出 

这 是 系统 中 最 容易 受到 攻击 的 漏洞 。 因 为 很 多 系统 在 不 检查 程序 与 缓冲 区 间 的 变 
化 的 情况 下 ,就 接收 任意 长 度 的 数据 ,而 把 溢出 部 分 存在 堆栈 里 ,然后 系统 照常 执行 命 
令 。 而 留 在 堆栈 里 的 数据 就 是 破坏 者 有 机 可 乘 的 入 口 ,造成 信息 丢失 或 破坏 。 


2.4 网 络 信息 安全 措施 


1， 防火墙 技术 

防火 墙 是 将 内 部 网 和 公众 网 访问 相隔 离 以 维护 网 络 与 信息 安全 的 一 种 软件 或 硬件 。 
防火 墙 包括 有 三 种 类 型 : 数据 包 过 滤 路 由 器 、 应 用 层 网 关 、 电 路 层 网 关 。 防 火 墙 位 于 内 部 
网 和 与 它 相连 的 网 络 之 间 ,在 相互 通信 时 进行 控制 ,对 信息 进行 监控 保证 信息 安全 。 数 
据 包 过 滤 技 术 是 根据 系统 内 部 设置 的 参数 的 过 滤 原 则 在 网 络 层 对 数据 包 进行 分 析 、 选 
择 , 通 过 检查 数据 流 中 每 一 个 数据 包 的 源 地 址 .目的 地 址 、 端 口号 ,协议 状态 等 参数 来 确 
定 信息 的 安全 性 ,是否 允 许 数 据 通过 。 对 不 符合 规则 的 数据 包 拦截 下 来 , 包 过 滤 规 则 主 
要 还 是 根据 IP 信息 来 判断 ,由 于 TCP/IP 协议 本 身 存 在 漏洞 ,所 以 有 时 也 会 因为 假 IP 地 
址 而 出 现 信息 错误 。 

2. 访问 控制 技术 

访问 控制 包括 两 方面 ,一 方面 是 控制 人 员 登 录 ,对 其 进行 身份 验证 。 身 份 验 证 主要 
包括 验证 依据 , 它 可 以 是 用 户 名 、 密 码 等 验证 ,还 可 以 根据 身体 特征 如 指纹 、 声 音 等 要 素 
进行 身份 验证 ,这 样 可 以 防止 非 管 理 人 员 进 入 到 管理 员 界 面 进行 非法 操作 ,如 浏览 不 属 
其 权限 范围 的 文件 ,网 页 及 数据 。 另 一 方面 是 存 取 控制 , 存 取 控制 是 指 特定 人 员 对 特定 
事物 的 存 取 权限 限制 ,主要 包括 人 员 限 制 \ 数 据 标识 、 权 限 控 制 等 。 它 一 般 与 身份 验证 一 
起 使 用 ,赋予 不 同 的 用 户 不 同 的 权限 ,对 不 同 对 象 享有 不 同 的 操作 ,使 得 信息 分 层 管理 ， 
一 定 程度 上 对 信息 的 安全 性 有 了 保障 。 
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3. 信息 加 密 技术 

对 信息 进行 加 密 可 以 在 很 大 程度 上 保护 信息 。 在 计算 机 网 络 中 ,数据 传输 可 能 涉及 
多 台 主 机 ,可 能 经 过 不 可 信 网 络 系统 ,所 以 采用 加 密 手 段 对 保护 信息 实现 网 络 安全 是 十 
分 重要 的 。 防 止 有 人 在 中 途 截取 信息 ,对 信息 进行 修改 、 删 除 、 泄 露 . 自 改 、 破 坏 等 行为 ， 
也 可 以 防止 非 管理 人 员 对 信息 进行 分 析 而 损害 信息 终端 的 使 用 者 。 数 据 加 密 一 般 分 为 
三 个 层次 的 加 密 : 链 路 加 密 、 字 节 加 密 和 端 到 端 加 密 。 

4. 数字 签名 技术 

数字 签名 是 附加 在 传输 的 数据 上 跟 数 据 一 起 传输 的 一 串 代 码 ,通过 一 个 函数 对 要 传 
送 的 报 文 进行 处 理 用 以 认证 报 文 的 来 源 并 核实 报 文 是 否 发 生 更 改 ,提供 了 一 种 鉴别 方 
法 ,解决 传输 过 程 中 信息 的 伪造 ,抵赖 和 冒充 等 安全 问题 。 发 送 者 利用 只 有 自己 知道 的 
私 钥 进 行 加 密 , 得 到 数字 签名 ,然后 再 加 入 到 要 传送 的 数据 中 。 这 样 就 可 以 防止 在 中 途 
信息 被 截 而 被 算 改 。 接 收 者 在 收 到 信息 时 先 解 密 再 使 用 数据 。 现 在 流行 的 电子 交易 中 
经 常用 到 数字 签名 技术 来 保证 交易 的 顺利 进行 。 


2.5 公 钥 体系 


随 着 网 络 应 用 的 荐 勃发 展 ,特别 是 电子 商务 .电子 政务 .远程 教育 等 的 兴起 ,网 络 安 
全 越 来 越 受 到 重视 。 学 术 界 和 有 关 厂 商 经 过 多 年 的 研究 之 后 ,初步 形成 了 一 套 完整 的 解 
决 方案 , 即 公 钥 基 础 设施 。 

1. 身份 认证 

身份 认证 是 实现 网 络 安全 的 重要 机 制 ,是 其 他 安全 机 制 的 基础 。 只 有 实现 了 有 效 的 
身份 认证 ,才能 保证 访问 控制 、 安 全 审计 等 安全 机 制 的 有 效 实施 。 在 PKI(Public Key 
Infrastructure, 公 钥 基 础 设施 ) 系 统 中 ,通过 公 钥 证 书 来 确认 用 户 的 身份 ,其 实质 是 利用 
了 公 钥 密码 理论 的 特点 。 在 双方 进行 通信 时 ,要 验证 单方 或 双方 的 身份 。 在 证 书 的 使 用 
者 和 证 书 的 主体 之 间 建 立 一 个 证 书 的 可 信任 路 径 , 认 证 路 径 中 每 一 个 证 书 的 签名 ,验证 
每 一 个 证 书 的 有 效 性 , 即 在 给 定期 间 内 没有 被 注销 也 没有 过 期 。 认 证 中 心 CA 
(Certificate Authority) 在 公 钥 证 书 中 的 数字 签名 ,有 效 防止 了 证 书 的 伪造 和 算 改 。 本 模 
型 中 的 身份 认证 功能 由 PKI 安全 应 用 支撑 平台 来 提供 。 

2. 公 钥 证 书 (Public Key Certificate) 

公 钥 证 书 是 由 CA 颁发 并 经 CA 数字 签名 的 ,包含 公开 密 钥 拥有 者 以 及 公开 密 钥 相 
关 信 息 的 一 种 电子 文件 ,可 以 用 来 证 明 公 钥 证 书 持 有 者 的 真实 身份 。 证 书 的 格式 遵循 
ITU-T X. 509 国际 标准 。 需 要 特别 提 到 的 是 , 公 钥 证 书 中 的 扩展 域 , 一 个 扩展 域 包括 重 
要 性 标志 (Criticality Flag) 和 与 标志 的 扩展 域 有 关 的 ASN. 1 类 型 数据 值 的 编码 。 有 具体 
扩展 可 以 根据 ITU-T 标准 来 定义 .或 者 是 由 任何 组 织 自己 来 定义 所 需 的 扩展 ,也 就 是 
说 ,可 以 将 自己 所 需 的 特定 信息 以 扩展 域 形式 编 进 证 书 中 ,以 满足 特定 应 用 的 需求 , 因 
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此 ,将 用 户 的 角色 信息 作为 证 书 的 一 项 扩展 域 而 存储 在 证 书 中 ,提供 对 权限 管理 的 支持 。 

3 PKI 

PKI 是 基于 公 钥 密码 理论 的 技术 体系 ,可 以 作为 支持 认证 完整 性 ,机密 性 和 不 可 否 
认 性 的 技术 基础 。 它 能 够 为 所 有 网 络 应 用 提供 密 钥 和 证 书 的 集中 化 管理 ,从 而 为 用 户 
提供 身份 认证 和 安全 通信 等 服务 。PKI 包 括 这 样 几 个 部 分 : 用 于 用 户 注册 和 接受 用 户 
证 书 请 求 的 注册 机 RA(Register Authority); 负责 生成 密 钥 ,发 放 和 管理 证 书 的 权威 机 
构 CA; 对 密 钥 .证 书 及 证 书 撤销 列表 的 存储 和 管理 的 目录 服务 器 (Directory); 在 密 钥 
丢失 时 ,进行 密 钥 恢复 和 实现 密 钥 存储 与 管理 的 密 钥 管理 系统 ; 实现 对 整个 PKI 系 统 
的 控制 和 管理 的 模块 。 在 该 体系 中 ,CA 是 核心 机 构 , 与 公 钥 证 书 共同 实现 对 身份 认证 
的 支持 。 

4. 访问 控制 模型 

常见 的 访问 控制 策略 有 自主 访问 控制 (DAC) ,强制 访问 控制 (MAC) 以 及 基于 角色 
的 访问 控制 (RBAC) 等 。ITU-T 的 X. 812 访问 控制 框架 定义 了 访问 控制 授权 方案 的 抽 
象 模型 。 应 用 于 B/S 模式 时 ,主要 由 实施 机 制 参考 策略 来 决定 用 户 请 求 的 结果 。 基 于 角 
色 的 访问 控制 (Role Based Access Control) 方 法 主要 通过 角色 分 层 (Role Hierarchies) 、 
责任 分 离 (Separation of Duty) 等 技术 将 权限 与 用 户 分 离 来 简化 安全 管理 。 基 本 思想 是 
将 访问 许可 权 分 配给 一 定 的 角色 ,用 户 通过 饰演 不 同 的 角色 获得 角色 所 拥有 的 访问 许可 
权 。 角 色 成 为 访问 控制 中 访问 主体 和 受 控 对 象 之 间 的 中 介 。 访 问 控制 机 制 是 在 用 户 和 
受 控 资源 之 间 介 入 的 一 个 安全 机 制 , 用 来 验证 用 户 权 限 ,控制 对 受 控 资源 的 访问 。 

5. XML 技术 

XML(eXtensible Markup Language) 技 术 曾 经 有 力 地 促进 了 Internet 发 展 的 HTLM 
语言 ,由 于 其 存在 难以 扩展 ,交互 性 差 \ 语 义 性 差 等 缺点 ,阻碍 了 其 更 广泛 的 应 用 。 
XML SGML(Standard Generalized Markup Language) 的 丰富 功能 与 HTML 的 易 用 性 结 
合 到 Web 中 ,以 一 种 开放 的 自我 描述 方式 定义 了 数据 结构 ,在 描述 数据 内 容 的 同时 能 
突出 对 结构 的 描述 ,从 而 体现 出 数据 之 间 的 关系 ,成 为 描述 数据 和 交换 数据 的 标准 格 
式 。 更 重要 的 是 ,XML 人 允许 组 织 、 个 人 建立 适合 自己 需要 的 标志 集合 。 利 用 XML 技 
术 , 可 以 很 方便 地 定义 符合 特定 需要 的 数据 格式 。 本 模型 中 ,将 需要 保护 的 资源 对 象 
(Object) 、 用 户 的 角色 (Role) 和 访问 方法 (Method) 以 XML 结 点 形式 存储 ,增强 了 系统 
的 灵活 性 和 可 操作 性 ,同时 还 方便 了 开发 人 员 的 编程 。XML 存储 了 访问 控制 策略 
信息 。 


2.6 ”Adobe Acrobat 软件 概述 


Adobe Acrobat 软件 是 美国 Adobe 公司 跨 平台 信息 共享 的 重要 工具 ,可 以 将 电子 表 
单 、 网 页 文件 .MSOffice 文件 等 数 十 种 格式 的 文件 完美 地 转换 为 便携 式 文档 格式 (PDF)， 
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并 保留 源 文档 的 字体 .图 像 .图形 和 版 面 设置 。 从 20 世纪 90 年 代 以 来 , 随 着 因特网 技术 
的 飞速 发 展 ,PDF 文件 已 成 为 文档 电子 交换 的 事实 标准 ,政府 部 门 、 企 业 及 教育 机 构 中 也 
越 来 越 多 地 通过 使 用 PDF 电子 信息 交换 工作 流 替 代 基 于 纸张 的 工作 流 来 简化 操作 
流程 。 


2.7 网 络 流量 监测 


1. 网 络 流量 的 特性 

通过 对 互联 网 通信 量 的 测量 ,人 们 发 现 互联 网 通信 量 的 主要 特性 如 下 ， 

(1) 数据 流 是 双向 的 ,但 通常 是 非 对 称 的 。 互 联网 上 大 部 分 的 应 用 都 是 双向 交换 数 
据 的 ,因此 网 络 的 数据 流 是 双向 的 。 但 是 两 个 方向 上 的 数据 率 有 很 大 的 差异 ,这 是 因为 
从 网 站 下 载 时 会 导致 从 网 站 到 客户 端 方向 的 数据 量 比 另外 一 个 方向 多 。 

(2) 大 部 分 TCP 会 话 是 短期 的 。 超 过 90% 的 TCP 会 话 交换 的 数据 量 小 于 10KB， 
会 话 持续 时 间 不 超过 几 秒 。 虽 然 文件 传输 和 远程 登录 这 些 TCP 会 话 都 不 是 短期 的 ,但 
是 由 于 80% 的 WWW 文件 传输 都 小 于 10KB, WWW 的 巨大 增长 使 其 在 这 方面 产生 了 决 
定性 的 影响 。 

(3) 包 的 到 达 过 程 不 是 泊 松 过 程 。 大 部 分 传统 的 排队 理论 和 通信 网 络 设计 都 假设 
包 的 到 达 过 程 是 泊 松 过 程 , 即 包 到 达 的 时 间 的 分 布 是 独立 的 指数 分 布 。 简 单 地 说 , 泊 
松 到 达 过 程 就 是 事件 (如 地 震 、 交 通 事故 .电话 等 ) 按 照 一 定 的 概率 独立 的 发 生 。 泊 松 
模型 因为 指数 分 布 的 无 记忆 性 也 就 是 事件 之 间 的 非 相关 性 而 使 其 在 应 用 上 要 比 其 他 
模型 更 加 简单 。 然 而 近年 来 对 互联 网 络 通信 量 的 测量 显示 包 到 达 的 过 程 不 是 泊 松 过 
程 。 包 到 达 的 时 间 不 仅 不 服从 指数 分 布 ,而 且 不 是 独立 分 布 的 。 大 部 分 时 候 是 多 个 包 
连续 到 达 , 即 包 的 到 达 是 有 突 发 性 的 。 很 明显 , 泊 松 过 程 不 足以 精确 地 描述 包 的 到 达 
过 程 。 造 成 这 种 非 泊 松 结构 的 部 分 原因 是 数据 传输 所 使 用 的 协议 。 非 泊 松 过 程 的 现 
象 迫 使 人 们 怀疑 使 用 简单 的 泊 松 模型 研究 网 络 的 可 靠 性 ,从 而 促进 了 网 络 通信 量 模型 
的 研究 。 

(4) 网 络 通信 量具 有 局 域 性 。 互 联网 流量 的 局 域 性 包括 时 间 局 域 性 和 空间 局 域 性 。 
用 户 在 应 用 层 对 互联 网 的 访问 反映 在 包 的 时 间 和 源 及 目的 地 址 上 ,从 而 显示 出 基于 时 间 
的 相关 (时 间 局 域 性 ) 和 基于 空间 的 相关 (空间 局 域 性 ) 。 

2. 网 络 流量 的 测量 

网 络 流量 的 测量 是 人 们 研究 互联 网 络 的 一 个 工具 ,通过 采集 和 分 析 互 联网 的 数据 
流 ,我 们 可 以 设计 出 更 加 符合 实际 的 网 络 设备 和 更 加 合理 的 网 络 协议 。 计 算 机 网 络 不 是 
永远 不 会 出 错 的 ,设备 的 一 小 点 故障 都 有 可 能 使 整个 网 络 瘫痪 ,或 者 使 网 络 性 能 明显 下 
降 。 例 如 ,广播 风暴 ,非法 包 长 .错误 地 址 、 安 全 攻击 等 。 对 互联 网 流量 的 测量 可 以 为 网 
络 管理 者 提供 详细 的 信息 ,以 帮助 发 现 和 解决 问题 。 互 联网 流量 的 测量 从 不 同 的 方面 可 
以 分 为 以 下 几 种 : 
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(1) 基于 硬件 的 测量 和 基于 软件 的 测量 。 基 于 硬件 的 测量 通常 指使 用 为 采集 和 分 析 
网 络 数据 而 特别 设计 的 专用 硬件 设备 进行 网 络 流 的 测量 ,这 些 设 备 一 般 都 比较 昂贵 ,而 
且 受 网 络 接口 数量 、 网 络 插件 的 类 型 .存储 能 力 和 协议 分 析 能 力 等 诸多 因素 的 限制 。 基 
于 软件 的 测量 通常 依靠 修改 工作 站 的 内 核 中 的 网 络 接口 部 分 ,使 其 具备 捕获 网 络 数 据 包 
的 功能 。 与 基于 硬件 的 方法 比较 ,其 费用 比较 低廉 ,但 是 性 能 比 不 上 专用 的 网 络 流量 分 
析 器 。 

(2) 主动 测量 和 被 动 测量 。 被 动 测量 只 是 记录 网 络 的 数据 流 , 不 向 网 络 流 中 注入 
任何 数据 。 大 部 分 网 络 流量 测量 都 是 被 动 的 测量 。 主 动 测量 使 用 由 测量 设备 产生 的 
数据 流 来 探测 网 络 而 获知 网 络 的 信息 。 例 如 ,使 用 ping 来 估计 到 某 个 目的 地 址 的 网 络 
延 时 。 

(3) 在 线 分 析 和 离线 分 析 。 有 的 网 络 流量 分 析 器 支持 实时 地 收集 和 分 析 网 络 数据 ， 
使 用 可 视 化 手段 在 线 地 显示 流量 数据 和 分 析 结 果 , 大 部 分 基于 硬件 的 网 络 分 析 器 都 具有 
这 个 能 力 。 离 线 分 析 只 是 在 线 地 收集 网 络 数据 ,把 数据 存储 下 来 ,并 不 对 数据 进行 实时 
的 分 析 。 

(4) 协议 级 分 类 。 对 于 不 同 的 协议 ,如 以 太 网 (Ethernet) 、 帧 中 继 (FrameRelay)、 异 
步 传输 模式 (Asynchronous Transfer Mode) ,需要 使 用 不 同 的 网 络 插件 来 收集 网 络 数据 ， 
因此 也 就 有 了 不 同 的 通信 量 测 试 方法 。 

3. 网 络 流量 的 监测 技术 

根据 对 网 络 流量 的 采集 方式 可 将 网 络 流量 监测 技术 分 为 基于 网 络 流量 全 镜像 的 监 
测 技术 .基于 SNMP 的 监测 技术 和 基于 Netflow 的 监测 技术 三 种 常用 技术 。 

(1) 基于 网 络 流量 全 镜像 的 监测 技术 : 网 络 流量 全 镜像 采集 是 目前 IDS 主要 采用 的 
网 络 流量 采集 模式 。 其 原理 是 通过 交换 机 等 网 络 设备 的 端口 镜像 或 者 通过 分 光 器 、 网 络 
探 针 等 附加 设备 ,实现 网 络 流量 的 无 损 复 制 和 镜像 采集 。 和 其 他 两 种 流量 采集 方式 相 
比 ,网 络 流量 全 镜像 采集 的 最 大 特点 是 能 够 提供 丰富 的 应 用 层 信息 。 

(2) 基于 Netflow 的 流量 监测 技术 : Netflow 流量 信息 采集 是 基于 网 络 设备 提供 的 
Netflow 机 制 实现 的 网 络 流量 信息 采集 。 

(3) 基于 SNMP 的 流量 监测 技术 : 基于 SNMP 的 流量 信息 采集 ,实质 上 是 通过 提取 
网 络 设备 Agent 提供 的 MIB( 管 理 对 象 信 息 库 ) 中 收集 一 些 具体 设备 及 流量 信息 有 关 的 
变量 。 基 于 SNMP 收集 的 网 络 流量 信息 包括 : 输入 字 节 数 、 输 入 非 广 播 包 数 、 输 入 广播 
包 数 .输入 包 丢 弃 数 .输入 包 错误 数 、. 输 入 未 知 协议 包 数 、 输 出 字 节 数 、 输 出 非 广播 包 数 、 
输出 广播 包 数 .输出 包 丢弃 数 、 输 出 包 错 误 数 .输出 队长 等 。 在 此 基础 上 实现 的 流量 信息 
采集 效率 和 效果 均 能 够 满足 网 络 流量 监测 的 需求 。 

表 2.1 对 三 种 网 络 流量 监测 技术 进行 了 综合 比较 ,不 难得 出 以 下 结论 : 基于 SNMP 
的 流量 监测 技术 能 够 满足 网 络 流量 分 析 的 需要 ,上 且 信息 采集 效率 高 ,适合 在 各 类 网 络 中 
应 用 。 
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表 2.1 三 种 网 络 流量 监测 技术 比较 


万 全 流量 镜像 SNMP Netflow 
标准 化 情况 不 完全 标准 RFC 标准 ”| 有 望 成 为 RFC 标准 
端口 流量 镜像 方式 的 使 用 范围 有 限 。 Cisco Juniper, Foundry 
设备 支持 能 力 | 若 采用 探 针 方式 , 则 与 探 针 自身 的 功 | 广泛 支持 三 个 主流 厂家 的 设备 
能 \ 性 能 有 关 支持 
是 否 需要 采样 | 否 否 可 能 
是 否 含 AS 信息 | 否 否 是 
数据 粒度 细 粗 中 
数据 准确 性 ”| 准确 准确 统计 意义 上 的 准确 
支持 的 数据 容量 | 大 小 大 
端口 镜像 模式 影响 较 大 : 探 针 方式 安装 
对 网 络 影响 “| 时 影响 较 大 ,一 旦 安装 后 影响 较 小 ,但 小 小 
带 来 新 的 单 点 失效 点 
部 署 难度 较 大 小 小 
部 署 成 本 | 高 低 
适用 范围 接 人 层 / 汇 聚 层 网 络 各 个 层次 | 汇聚 层 / 核 心 层 


实验 3 Adobe Acrobat 中 的 公 钥 证 书 配置 


一 、 实 验 目的 
理解 数字 证 书 的 含义 及 其 实现 原理 ,并 掌握 在 Adobe Acrobat 中 利用 公 钾 证书 配置 
安全 性 策略 的 方法 。 


二 、 实 验 原 理 

数字 证 书 是 一 种 能 提供 在 Internet 上 进行 身份 验证 的 一 种 权威 性 电子 文档 ,人 们 可 
以 在 互联 网 交往 中 用 它 来 证 明 自 己 的 身份 和 识别 对 方 的 身份 。 

以 数字 证 书 为 核心 的 加 密 技术 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 数 字 签 名 和 
签名 验证 ,确保 网 上 传递 信息 的 机 密 性 、 完 整 性 。 使 用 了 数字 证 书 ,即使 发 送 的 信息 在 网 上 
被 他 人 截获 ,甚至 丢失 了 个 人 的 账户 、 密 码 等 信息 , 仍 可 以 保证 用 户 的 账户 资金 安全 。 

使 用 证 书 加 密 文档 并 验证 数字 签名 。 数 字 签 名 可 使 收 件 人 确信 文档 来 自发 件 人 处 。 
加 密 确保 仅 有 预期 的 收 件 人 可 以 查看 内 容 。 证 书 是 可 存储 数字 身份 证 的 公 钥 组 件 。 

当 用 证 书 保护 PDF 文档 时 ,可 指定 收 件 人 并 定义 每 个 收 件 人 或 组 的 文件 访问 级 别 。 
例如 ,可 以 允许 一 组 签名 和 填写 表单 ,允许 另 一 组 编辑 文本 或 删除 页 面 。 可 以 从 自己 的 
可 信任 身份 列表 、 磁 盘 上 的 文件 .LDAP 服务 器 或 Windows 证 书 储存 区 ( 仅 Windows) 来 
选择 证 书 。 总 是 将 自己 的 证 书包 含 在 收 件 人 列表 ,以 便 稍 后 可 以 打开 文档 。 

注意 : 如 果 可 能 ,请 使 用 第 三 方 数 字 身份 证 的 证 书 加 密 文档 。 如 果 证 书 丢失 或 被 盗 ， 
颁发 机 构 可 以 进行 替换 。 如 果 自 签名 数字 身份 证 被 删除 ,使 用 该 身份 证 的 证 书 加 密 的 所 
有 PDF 将 永远 无 法 访问 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) 硬件 设备 : 部 署 Windows Server 2003 系统 的 学 生 PC 一 台 。 
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(2) 软件 工具 : Adobe Acrobat 9. 3.3 ProExtended 。 

2. 实验 角色 

本 实验 为 单 人 实验 ,每 个 人 在 各 自 的 PC 终端 上 进行 实验 操作 。 实 验 工具 已 预先 安装 好 。 

3. 实验 步骤 

(1) 新 建 一 个 Word 文件 ,内 容 任 意 ,以 文件 名 “test. doc” 存 盘 ( 注 意 该 文件 的 保存 
位 置 )。 

(2) 打开 实验 软件 。 执 行 “ 开 始 ”" 一 “所 有 程序 ”>“Acrobat” 一 “Adobe Acrobat 9 
ProExtended” 命 令 。 

(3) 选择 “文件 ”>“ 创 建 PDF” 一 “从 文件 ”选项 ,在 打开 的 窗口 中 ,选择 文件 “test. 
doc”, 创 建 pdf 文件 (创建 pdf 文件 可 能 需要 一 段 时 间 , 请 耐心 等 待 。 文 件 创建 完成 后 , 系 
统 自动 为 其 命名 test. pdf) 。 

(4) 选择 “文件 ”>“ 保 存 ” 选 项 ,将 文件 以 test. pdf 为 文件 名 保存 到 磁盘 上 。 

(5) 选择 “高 级 ”>“ 安 全 性 ”>“ 管 理 安全 性 策略 "选项 ,打开 “管理 安全 性 策略 ”对 话 
框 ,在 该 对 话 框 中 单 击 “ 新 建 "按钮 ,打开 “新 建安 全 性 策略 ”对 话 框 ,如 图 2. 1 所 示 。 

i 


图 加 刻 所 有 文档 内 容 (A) 
日 加 雍 除 元 数据 外 的 所 有 文档 内 容 ( 与 Acrobat 6 和 更 高 版 本 兼容 ) (M) 
日 仅 h0 窗 文件 附件 (与 Acrobat 7 和 更 高 版 本 鞠 客 ) (月 


国 文档 所 有 内 容 均 梅 被 加 密 ,上 且 搜 索引 l 世 将 无 法 访问 文档 的 元 数据 . 


回 应 用 本 策略 时 询问 收 件 人 (R) 
各 过 算法 日 : [128-bit AES (与 Acrobat 70 和 更 高 版 本 兼容 ) 


于 Gsm) CE | 


图 2.1 “新 建安 全 性 策略 ”对话 框 


"en 
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(6) 在 “策略 名 称 ” 栏 中 填写 为 该 安全 策略 取 的 名 字 ( 可 自行 填写 ); 在 “说 明 ” 栏 填写 
班级 、 姓 名 和 学 号 ; 在 “选择 要 加 密 的 文档 组 件 ” 选 项 区 域 中 ,选中 “加 密 所 有 文档 内 容 ” 单 
选 按钮 ,其 他 默认 (注意 分 析 其 他 几 个 选项 的 含义 ). 单 击 “ 下 一 步 ” 按 钮 。 

(7) 在 弹出 如 图 2. 2 所 示 的 对 话 框 中 , 单 击 “ 添 加 数字 身份 证 ”按钮 ,选择 “我 要 立即 
创建 新 数字 身份 证 "选项 ,然后 单 击 " 下 一 步 " 按 钮 。 


六 共 安 全 人 性 - 运 香 政 字 身份 证 


图 2.2 选择 数字 身份 证 


(8) 在 弹出 如 图 2. 3 所 示 的 对 话 框 中 ,选中 “新 建 PKCS# 12 数字 身份 证 文件 " 单 选 
按钮 , 单 击 " 下 一 步 ?按钮 。 


图 2.3 添加 数字 身份 证 
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(9) 在 弹出 如 图 2.4 所 示 的 对 话 框 中 , 填 和 人 相关 信息 (名 称 ,你 的 姓名 ; 部 门 , 你 的 专 
业 名 称 ; 单位 名 称 , 上 海 商学 院 ; 电子 邮件 地 址 ,你 的 电子 邮件 地 址 ; 国家 /地 区 ,中 国 ; 
其 余 取 默认 值 ), 单 击 " 下 一 步 " 按 钮 。 


图 2.4 填写 身份 信息 


注意 : 以 上 信息 ,如 果 填 写 的 是 中 文 , 单 击 “ 下 一 步 ” 按 钮 后 ,系统 会 出 现 如 图 2.5 所 
示 的 兼容 性 警告 , 单 击 “ 是 ”按钮 ,将 以 上 信息 以 ASCII 的 形式 重新 输入 ,如 图 2.6 所 示 。 


Acrobat 6.0 以 前 的 版 本 和 非 Acrobat 应 用 程序 可 能 无 法 正确 显示 包含 非 ASCI 字 
符 的 证 书 。 要 确保 与 这 些 应 用 程序 兼容 ， 您 必须 为 革 些 尾 性 输入 对 等 的 ASCI 闻 


要 为 革 些 属性 使 用 非 ASCI 字符 吗 ? 


图 2.5 兼容 性 警告 


(10) 在 弹出 如 图 2.7 所 示 的 对 话 框 中 输入 口令 为 “123456”, 其 余 取 默认 值 , 单 击 “ 完 
成 ”按钮 。 

(11) 关闭 “文档 安全 性 -选择 数字 认证 ”对 话 框 ,返回 “管理 安全 性 策略 ”对 话 框 ,如 
图 2.8 所 示 。 选 择 新 建 的 数字 身份 证 为 收 件 人 .然后 单 击 “ 应 用 到 文档 按钮。 将 所 创建 
的 pdf 文档 以 testl. pdf 为 保存 ,关闭 该 软件 。 
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输入 要 在 生成 自 签名 证 书 时 使 用 的 身份 信息 . 


名 称 (例如 : John Smith ) (M) : 


部 : 
单位 名 称 (0) : 


电子 邮件 地 址 (E) : 


国家 /地 区 (O : 

加 启用 Unicode 支 持 (A) 
密 负 算法 0 : 
数字 身份 证 用 于 (有 : 
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图 2.8 安全 策略 应 用 到 文档 


(12) 重新 打开 testl. pdf 文档 ,将 出 现 如 图 2.9 所 示 的 “数字 身份 证 验证 ”对 话 框 ,可 
查看 该 数字 身份 证 信息 是 否 是 之 前 设置 的 信息 (图 2. 10)。 输 入 之 前 设置 的 口令 为 
“123456”, 将 打开 test1l. pdf 文件 。 


要 求 访问 您 的 数字 身份 证 方 可 打开 加 密 的 文档 . 


数字 身份 证 : ”| 计算 机 学 院 , email= 6lxinyi@163.com, c= CN | 显示 证 书 详细 信息 (Dj,。 


Cn ] ms | 


图 2.9 数字 身份 证 验证 


(13) 因为 之 前 没有 设置 对 该 pdf 文档 的 具体 的 编辑 权限 限制 ,因此 选择 “工具 ”一 
“高 级 编辑 "选项 ,可 以 对 该 文档 进行 添加 按钮 裁剪、 复制 等 操作 ,如 图 2. 11 所 示 。 

(14) 选择 “高 级 ”>“ 安 全 性 ”>“ 管 理 安全 性 策略 "选项 ,在 出 现 的 “管理 安全 性 策略 ” 
对 话 框 中 选择 “test" 策 略 , 然 后 单 击 “ 编 辑 ” 按 钮 ,如 图 2. 12 所 示 。 
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张 新 这 <6lxinyi@163.com> 
上 海 商学 院 (sbs) 

: 。 张 新 这 <6lxinyi@163.com> 
上 海 商学 院 (sb 
2011/10/19 14:06:14 +08'00 

:2016/10/19 14:0614 +0800 


乏 名 事务 ， 加 密 文 档 


0 
® 这 是 自 签名 证 书 。 选 定 的 证 书 路 径 有 效 。 
路 径 验证 检查 于 "2011/10/1914:15.43 +08'00" 完 成 


图 2. 10 证 书 详细 信息 


名， 文档 @) 注释 C) 表单 BB) | 工具 CL) 高 级 入 ) 窗口 如 帮助 只 


[= 。 | 注 笠 和 标记 加 » 
闻 s2- Asa- | 号 "Pe 
IN 高 级 纹 司 W 


+ 西 按 钮 QD) 


， 由 文章 工具 加 
多 媒体 加 ) ， 苹 款 昌 工 具 亿 ) 
自 定义 工具 栏 四 怕 链 朗 T 具 QD 


国 Touchyp 文本 工具 0 
各 reachu 癌 读 顺序 工具 @) 


图 2.11 文档 的 编辑 权限 
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图 2.12 选择 加 密 证 书 


(15) 安全 证 书 的 一 般 设置 ,如 图 2. 13 所 示 , 单 击 “ 下 一 步 " 按 钮 。 


由 


加 加 窗 所 有 文档 内 容 (A) 
卓 加 窜 除 元 数控 外 的 所 有 文档 内 容 ( 与 Acrobat 6 和 更 高 版 本 兼容 ) (M) 
日 仅 j0 守 文件 附件 (与 Acrobat 7 和 更 高 版 本 兼容 ) () 


文档 所 有 内 容 均 棕 被 加 密 ， 且 六 索引 擎 棕 无 法 访问 文档 的 元 数据 . 


: [128-bit AES (与 Acrobat70 和 更 高 版本 兼容 ) 


图 2.13 安全 证 书 的 一 般 设置 


二 
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(16) 在 弹出 如 图 2. 14 所 示 的 对 话 框 中 , 单 击 “ 许 可 ”按钮 ,在 出 现 的 “许可 设置 ”对话 
框 中 选中 “限制 文档 的 打印 和 编辑 及 其 安全 性 设置 " 复 选 框 ,可 更 改 文档 的 打印 权限 、 编 
辑 权 限 等 ,设置 如 图 2.15 所 示 。 然 后 依次 单 击 “ 确 定 ”>“ 下 一 步 ”>“ 完 成 “应 用 到 文 
档 ” 按 钮 ,将 文档 以 test2. pdf 保存 。 


图 2.14 当前 的 安全 设 定 信 息 


(17) 关闭 该 pdf 文档 ,然后 重新 打开 test2. pdf 文档 ,选择 “工具 ”一 “高 级 编辑 ” 选 
项 ,发 现 好 多 修改 工具 已 成 灰色 ,不 可 用 ,如 图 2. 16 所 示 。 

4. 思考 题 

(1) 本 实验 生成 的 三 个 文件 : test. pdf testl. pdf test2. pdf 有 什么 区 别 ? 


(2) 大 家 测试 一 下 ,如果 创 建 的 数字 身份 证 被 删除 ,还 能 够 打开 原来 经 该 数字 身份 证 
签名 的 文件 吗 ? 


(3) 为 了 保护 我 们 的 著作 权 , 需 要 设置 一 篇 文章 只 能 被 别人 网 上 查阅 ,不 能 修改 ,不 
能 复制 ,不 能 打印 ,该 如 何 设置 安全 性 策略 呢 ? 
(4) 通过 该 实验 ,你 能 说 出 数字 签名 与 公 钥 证 书 的 工作 原理 吗 ? 


图 2. 16 编辑 功能 受 限 


实验 4 网 络 流量 监测 与 分 析 


一 、 实 验 目的 
通过 抓 包 工具 Wireshark, 抓 取 telent、 ssh 包 , 完 成 对 telnet 包 的 分 析 工 作 , 明 白 
telnet 包 的 结构 ,结合 TCP/IP 五 层 模型 ,分 析 telnet 包 各 层 的 功能 ,以 及 各 层 通信 使 用 


有 
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的 地 址 ,通过 telent 包 的 测试 了 解 并 且 分 析 数 据 包 中 登录 密码 等 信息 和 了 解 明 文 传输 的 
特点 ,并 且 通 过 对 ssh 包 的 测试 来 了 解密 文 传输 的 安全 性 。 

二 、 实 验 原理 

Telnet 协议 是 TCP/IP 协议 族 中 的 一 员 ,是 Internet 远程 登录 服务 的 标准 协议 和 主 
要 方式 , 它 为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计 
算 机 上 使 用 Telnet 程序 ,用 它 连接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命 
令 , 这 些 命令 会 在 服务 器 上 运行 ,就 像 直接 在 服务 器 的 控制 台 上 输入 一 样 , 可 以 在 本 地 就 
能 控制 服务 器 。 要 开始 一 个 Telnet 会 话 , 必 须 输入 用 户 名 和 密码 来 登录 服务 器 。Telnet 
是 常用 的 远程 控制 服务 器 的 方法 。 

使 用 Telnet 协议 进行 远程 登录 时 需要 满足 以 下 条 件 : 在 本 地 计算 机 上 必须 装 有 包 
含 Telnet 协议 的 客户 程序 ; 必须 知道 远程 主机 的 IP 地 址 或 域名 ; 必须 知道 登录 标识 与 
口令 。 

Telnet 远程 登录 服务 分 为 以 下 4 个 过 程 : 

(1) 本 地 与 远程 主机 建立 连接 。 该 过 程 实际 上 是 建立 一 个 TCP 连接 ,用 户 必须 知道 
远程 主机 的 IP 地 址 或 域名 。 

(2) 将 本 地 终端 EF 输入 的 用 户 名 和 口令 及 以 后 输入 的 任何 命令 或 字符 以 NVT(Net 
Virtual Terminal) 格 式 传送 到 远程 主机 。 该 过 程 实际 上 是 从 本 地 主机 向 远程 主机 发 送 一 
个 IP 数据 包 。 

(3) 将 远程 主机 输出 的 NVT 格式 的 数据 转化 为 本 地 所 接受 的 格式 送 回 本 地 终端 ， 
包括 输入 命令 回 显 和 命令 执行 结果 。 

(4) 本 地 终端 对 远程 主机 进行 撤销 连接 。 该 过 程 是 撤销 一 个 TCP 连接 。 

SSH 是 Secure Shell 的 缩写 ,由 IETF 的 网 络 工 作 小 组 (Network Working Group) 
所 制定 ; SSH 为 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 。SSH 是 目前 较 可 靠 , 专 为 远 
程 登录 会 话 和 其 他 网 络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 防 止 远程 管理 
过 程 中 的 信息 泄露 问题 。 

传统 的 网 络 服务 程序 ,如 ftp .pop 和 telnet 在 本 质 上 都 是 不 安全 的 ,因为 它们 在 网 络 
上 用 明文 传送 口令 和 数据 ,别有用心 的 人 非常 容易 就 可 以 截获 这 些 口 令 和 数据 。 而 且 ， 
这 些 服务 程序 的 安全 验证 方式 也 是 有 其 弱点 的 ,就 是 很 容易 受到 “中 间 人 ”(man-in-the- 
middle) 的 攻击 。 所 谓 “ 中 间 人 ”攻击 方式 ,就 是 中间 人 ”冒充 真正 的 服务 器 接收 你 传 给 服 
务 器 的 数据 ,然后 再 冒充 你 把 数据 传 给 真正 的 服务 器 。 服 务 器 和 你 之 间 的 数据 传送 被 
“中 间 人 ”一 转手 做 了 手脚 之 后 ,就 会 出 现 很 严重 的 问题 。 

通过 使 用 SSH ,你 可 以 把 所 有 传输 的 数据 进行 加 密 , 这 样 “ 中 间 人 ”攻击 方式 就 不 可 
能 实现 了 ,而 且 也 能 够 防止 DNS 和 IP 欺骗 。 还 有 一 个 额外 的 好 处 就 是 传输 的 数据 是 经 
过 压缩 的 ,所 以 可 以 加 快 传输 的 速度 。SSH 有 很 多 功能 , 它 既 可 以 代替 telnet, 又 可 以 为 
ftp、pop、 其 至 ppp 提供 一 个 安全 的 “通道 ”。 
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三 、 实 验 内 容 

1. 实验 环境 

(1) 硬件 设备 : Windows Server 2003 系统 的 学 生 PC 一 台 ; RHEL 系统 的 服务 器 一 台 。 
(2) 软件 工具 : Wireshark; IE 6.0。 

实验 拓扑 图 和 实验 设备 配置 参考 信息 分 别 如 图 2. 17 和 表 2.2 所 示 。 


心 


终端 PC 服务 器 
实验 室 网 络 


图 2.17 实验 拓扑 图 


表 2.2 实验 设备 配置 参考 信息 表 


示例 实验 终端 PC 192. 168. 1. 100 
RHEL5 系统 的 服务 器 192. 168. 1. 252 


2. 实验 角色 

本 实验 为 单 人 实验 ,每 个 人 在 各 自 的 PC 终端 上 进行 试验 操作 。 通 过 对 服务 器 进行 
telnet 和 ssh 登录 的 过 程 中 进行 抓 包 分 析 , 了 解 明文 、. 密 文 传输 对 于 账户 和 密码 安全 的 区 
别 , 从 而 学 习 抓 包 的 基本 能 力 以 及 对 IP 包 的 深入 解析 和 学 习 。 

本 实验 需要 通过 网 络 进 行 包 抓 取 和 分 析 , 因 此 实验 环境 必须 Ping 协议 可 用 ,telnet， 
ssh 服务 可 用 , 方 可 保证 实验 的 可 行 性 。 

3. 实验 步骤 

1) telnet 包 检 测 

(1) 打开 抓 包工 具 Wireshark. 在 过 滤 框 中 输入 telnet 过 滤 telnet 包 , 启 动 程序 并 抓 包 。 

提示 : 

一 般 地 讲 , 该 工具 会 识别 出 多 个 物理 网 卡 及 逻辑 网 口 ,因此 请 选择 实际 PC 主机 上 的 
试验 用 的 物理 网 卡 作 为 抓 包 接 口 对 象 ,也 可 以 根据 IP 地 址 来 判断 哪个 IP 是 抓 包 对 象 。 
上 例 中 仅 作 为 说 明 , 选 择 其 中 一 块 试验 用 的 网 卡 进行 抓 包 。 

(2) 执行 “开始 ”一 “运行 "命令 ,在 打开 的 “运行 "对话 框 中 输入 cmd 命令 ,打开 命令 
行 窗口 ,输入 IPCONFIG 命令 ,记录 本 机 的 IP 地 址 。 

(3) 在 命令 窗口 中 输入 : Ping 192. 168. 1. 252 ,注意 连接 是 否 正常 。 

(4) 在 命令 窗口 中 输入 : telnet 192. 168. 1. 252 ,登录 服务 器 。 登 录 账 户 和 密码 均 为 
gengshang ,成 功 后 提示 符 为 $ 。 

(5) 此 时 , 抓 包 的 具体 信息 开始 有 记录 信息 了 .系统 成 功 获取 包 信 息 如 图 2. 18 所 示 。 

(6) 从 图 2. 19 中 看 到 telnet 的 请 求 和 响应 报 文 ,现在 抓 取 telnet 报 文 分 析 如 下 。 


于, 
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如 314.882820 192.1681.1C0 192.168.1.252 Telner para 
14.992831 “192,.168.1.100 192.168.1.252 Telnet Data ... 
一 15.162917 “192.168.1.100 192.168.1.252 Telnet Data ... 


图 2.18 抓 包 信息 


Source port: nim (1058) 
Destiration port: telnet (23) 
Sequernce number : 59 (relative sequence number) 
[Next sequence number: 60 (relative sequence number)] 
Acknowledgement number: 142 (relative ack number) 
Header length: 20 bytes 
田 Flags: Ox18 (PsH, ACK) 
window size: 64099 
由 Checksum: oxfood [correcr] 
analysis] 


06 73 80 < a8 01 64 co a8 
57 Oc f6 73 34 bl 3d 50 18 


图 2.19 报 文 信息 


二 层 参数 : 在 列表 Ethernet II 部 分 ,指示 底层 的 环境 是 以 太 网 ,协议 包 中 Ethernet 
II 型 参数 给 出 本 机 和 测试 目标 主机 的 二 层 地 址 , 即 MAC 地 址 。 因 为 telnetre quest 包 是 
从 本 地 PC 发 给 测试 目标 PC 的 ,所 以 这 里 的 Src( 源 MAC 地 址 ) 就 是 本 机 网 卡 的 MAC 
地 址 ,在 本 实验 中 是 00: 0C: 29: df: 50: 35, 而 Dst( 目 标 MAC 地 址 ) 在 本 实验 环境 下 也 
就 是 服务 器 的 MAC 地 址 。 

三 层 参 数 : 在 列表 Internet Protocol 部 分 ,给 出 测试 包 的 源 IPv4 地 址 和 目标 IPv4 
地 址 ,其 中 源 IP 地 址 (本 地 主机 ) 为 192. 168. 1. 100; 目标 IP 地 址 (测试 主机 的 IP 地 址 ) 
为 192. 168. 1. 252 。 

高 层 参 数 : 在 列表 Internet Control Message Protocol 中 ,显示 目标 端口 23。 

telnet 参数 : 客户 机 192. 168. 1. 100 是 在 telnet 登录 192. 168. 1. 252 时 输入 的 账户 
及 密码 (gengshang) ,因为 telnet 时 双方 的 数据 包 是 明文 显示 的 。 

(7) 选择 Analyze~>Follow TCP Stream 选项 ,在 打开 的 窗口 中 显示 报 文 信息 ,如 
图 2.20 所 示 。 


ast login; Sun Jul] 11 19:19:06 from 192.168.1.100 
[Faengshangeinfosec_resr ~]$ 


图 2.20 报 文 信息 


< 第 2 章 ”网络 系统 安全 篇 Ey 


从 图 2. 20 中 也 可 以 直接 看 到 telnet 过 程 中 ,由 于 是 明文 传输 因此 抓 包工 具 可 以 直接 
的 捕获 其 中 的 用 户 名 和 密码 ,输入 账户 时 通过 网 卡 时 被 抓 包 , 抓 包 软件 显示 抓 到 一 次 账 
户 名 。 当 服务 器 再 次 确认 用 户 名 时 回 显 在 终端 PC 时 , 抓 包 工具 再 一 次 显示 抓 到 一 次 账 
户 名 ,因此 有 ggeenngg sshhaanngg 重复 的 出 现 。 而 根据 telnet 协议 中 密码 不 再 回 显 ,所 
以 抓 包 工具 只 能 抓 到 终端 输入 密码 而 没有 服务 器 再 次 确认 密码 。 


2) ssh 包 检 测 
(1) 单 击 桌 面 PuTTY 图 标 。 


(2) 打开 PuTTY ,并 输入 服务 器 IP 地 址 192. 168. 1. 252 ,选择 SSH 登录 ,最 后 单 击 


Open 按钮 ,如 图 2. 21 所 示 。 


‘options for your PuTTY session 


[Load, save or delete a stored session 


Bm Ciena eAoon fe ash 


Sessions 
Default Settings Load | 
Save 
Delete 
Close window on exit: 


CT Aways © Never 人 Onlyoncleanexit 


2.21 PuTTY 设 定 


Open | cance | 
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(3) 在 系统 提示 后 ,账户 名 和 密码 均 为 “gengshang”。 
(4) 打开 抓 包 工具 Wireshark ,在 过 滤 框 中 输入 ssh 过 滤 ssh 包 ,输出 如 图 2. 22 所 示 


的 抓 包 信息 。 


Header length: 20 byres 
国 pifferenriared services Field: Ox00 (Dscp 0x00: Default; ECN: 0x00) 

Toral Length: 60 

Identification: 0x7b27 C31527) 
Flags: Ox04 (pon't Fragment) 

Fragrent offser: 0 

Time to Tive: 64 

Protceol: TCP (0x06) 
® Header checksum: Ox3ae4 [correct] 

192.168.1,252 (192.168.1.252) 


图 2.22 抓 包 信息 


(5) 从 图 2. 23 中 看 到 ssh 的 请 求 和 响应 报 文 ,现在 抓 取 http 报 文 结合 分 析 整 个 ssh 
包 的 第 二 和 第 三 层 信息 如 下 。 


Source: vmware_ 


Ten 
Header length: 20 bytes 
困 Differentiated Services =ield: Ox00 CDscp Ox00: Default; ECN: 0x00) 

Toral Length: 68 
Ident1fication: 0x051e C1310) 
国 Flags: Ox04 (pon't Fragment) 

Fragment offser: 0 

Time to 1ive: 128 

Protocol: TcP COx06) 
加 Header checksum: 0x7085 [correct] 

Source: 192.168.1.100 (132.168.1.100) 

Destination: 192,168.1.252 (192.168.1.252) 
| Transmission control protocol, Src Port: capiover1an C1147), Dst Port: ssh C22), Seq: 1, Ack: 21, Len: 28 
FE EE 

18 40 00 80 08 70 e5 co a8 Ol 64 cO a8 
7b 00 16 1a 31 70 c6 65 8a ee b6 50 18 


fa dc 03 af 00 00 53 53 48 2d 32 2e 30 2d 50 75 


2.23 ssh 的 请 求 和 响应 报 文 
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二 层 参 数 : 在 列表 Ethernet II 部 分 ,指示 底层 的 环境 是 以 太 网 ,协议 包 中 Ethernet 
1 yoann MAC 地 址 。 因 为 http get 包 是 从 本 
地 PC 发 给 测试 目标 PC 的 ,所 以 这 里 的 Src( 源 MAC 地 址 ) 就 是 本 机 网 卡 的 MAC 地 址 ， 
在 本 实验 中 是 00: 0C: 29: df: 50: 35, 而 Dst( 目 标 MAC 地 址 ) 在 本 实验 环境 下 也 就 是 
服务 器 的 MAC 地 址 。 

本 实验 在 纯 二 层 完成 ,但 是 如 果 本 地 主机 和 目标 测试 主机 处 于 三 层 环境 时 ,这 里 的 
DestinationMAC 就 不 是 目标 测试 主机 的 MAC 地 址 了 ,而 是 本 地 主机 从 属 网 段 网 关 的 
MAC 地 址 。 

三 层 参数 ; 在 列表 Internet Protocol 部 分 ,给 出 测试 ssh 包 的 源 IPv4 地 址 和 目标 
IPv4 地 址 ,其 中 源 IP 地 址 (本 地 主机 ) 为 192. 168. 1. 100; 目标 IP 地 址 (测试 主机 的 IP 
地 址 ) 为 192. 168. 1. 252 。 

(6) 选择 Analyze->Follow TCP Stream 选项 ,在 打开 的 窗口 中 显示 报 文 信息 ,如 图 2. 24 
所 示 。 


sh-2 TY Re lease, 0.53b 
diffie-hellman-group-exchange-shal, fteihe Ynan-gr ovBas sha ,diffie- 
-rsa, ssh-dss,.. .aesl28-cbc, 3des-cbc, blowfish-cbc, cast128- 
arcfour, aes192-cbc, aes256-Cbc, ndse eposter: iu.se,aes128-ctr, aes192— 


aesl28-Cbc, 3des“cbc, blowrish-cbe, casti28-cbc, arcfour128, arcfour256, arcfour, aes192~ 


gel -cheaiys ror Tiu. 了 aesl28-ctr ee ee aes256-ctr.. .Uhmac-md5, hmac™ 
0, hmac-ripemdl5080penssh' com, hmac-shal-96, hmac md5-96 
eo Pmaerioendl Geo ERssh. com, hmac=sh: 


“Umac-md5, hmac-shal, hmac— 


jhdae1192- 
none.. .hnac-shal, hmac- 


2.24 ssh 的 请 求 和 响应 报 文 分 析 


从 图 2. 24 中 可 分 析 得 到 ssh 对 服务 进行 登录 后 ,账户 和 密码 都 经 过 加 密 , 密 文 显示 
因此 无 法 对 直接 通过 抓 包 分 析 获 得 。 


4. 思考 题 
(1) 如 何 通过 Wireshark 抓 取 无线 包 ,车 有 条 件 可 以 尝试 。 


L:: 
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(2) 完成 跨 网 段 情况 下 ICMP 的 请 求 和 响应 报 文 分 析 ,并 给 出 结论 。 

(3) 两 台 相 邻 的 PC 为 一 个 协作 小 组 ,一 台 PC 构建 FTP 服务 器 使 之 可 以 被 访问 , 完 
成 对 FTP 流量 的 检测 和 分 析 , 注 意 FTP 流量 和 HTTP 流量 的 区 别 , 虽 然 都 为 TCP 协 
议 , 但 是 FTP 使 用 的 两 个 端口 20 和 21 ,请 指出 两 个 端口 的 作用 ,并 分 析 其 传输 命令 如 何 
传输 。 

(4) 分 别 设计 实验 内 容 , 完 成 实验 报告 。 


3.1 引言 


编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 
且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 被 称 为 计算 机 病毒 (Computer Virus) 。 
病毒 具有 破坏 性 、 复 制 性 和 传染 性 。 

病毒 往往 会 利用 计算 机 操作 系统 的 弱点 进行 传播 ,提高 系统 的 安全 性 是 防 病毒 的 一 
个 重要 方面 ,但 完美 的 系统 是 不 存在 的 ,过 于 强调 提高 系统 的 安全 性 将 使 系统 多 数 时 间 
用 于 病毒 检查 ,系统 失去 了 可 用 性 、 实 用 性 和 易 用 性 , 另 一 方面 ,信息 保密 的 要 求 让 人 们 
在 泄密 和 抓 住 病 毒 之 间 无 法 选择 。 病 毒 与 反 病毒 将 作为 一 种 技术 对 抗 长 期 存在 ,两 种 技 
术 都 将 随 计 算 机 技术 的 发 展 而 得 到 长 期 的 发 展 。 


3.2 计算 机 病毒 的 概念 


计算 机 病毒 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 被 明确 定义 ,病毒 
指 “ 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 
且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 与 生物 病毒 不 同 的 是 几乎 所 有 的 计 
算 机 病毒 都 是 人 为 故意 制造 出 来 的 ,有 时 一 旦 扩散 出 来 后 连 编 者 自己 也 无 法 控制 。 它 已 
经 不 是 一 个 简单 的 纯 计算 机 学 术 问 题 ,而 是 一 个 严重 的 社会 问题 了 。 

宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 ,一 旦 打开 这 样 的 文档 ,其 中 
的 宏 就 会 被 执行 ,于 是 宏 病 毒 就 会 被 激活 ,转移 到 计算 机 上 ,并 驻 留 在 Normal 模板 上 。 
从 此 以 后 ,所 有 自动 保存 的 文档 都 会 “感染 "上 这 种 宏 病 毒 ,而 且 如 果 其 他 用 户 打 开 了 感 
染病 毒 的 文档 , 宏 病 毒 又 会 转移 到 其 他 计算 机 上 。 宏 病毒 具有 传播 速度 极 快 .制作 、 变 种 
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方便 .破坏 可 能 性 极 大 、 多 平台 交叉 感染 。 


3.3 计算 机 病毒 的 产生 


病毒 不 是 来 源 于 突 发 或 偶然 的 原因 ,一 次 突 发 的 停电 或 偶然 的 错误 ,会 在 计算 机 的 
磁盘 和 内 存 中 产生 一 些 乱码 和 随机 指令 ,但 这 些 代码 是 无 序 和 混乱 的 。 病 毒 则 是 一 种 比 
较 完美 的 、 精 巧 严谨 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,与 所 在 的 系统 网 络 环境 相 适应 和 
配合 。 病 毒 不 会 通过 偶然 形成 ,并 且 需 要 有 一 定 的 长 度 ,这 个 基本 的 长 度 从 概率 上 来 讲 
是 不 可 能 通过 随机 代码 产生 的 。 现 在 流行 的 病毒 是 由 人 为 故意 编写 的 ,多 数 病 毒 可 以 找 
到 作者 和 产地 信息 ,从 大 量 的 统计 分 析 来 看 ,病毒 作者 的 主要 情况 和 目的 是 : 一 些 天 才 的 
程序 员 为 了 表现 自己 和 证 明 自 己 的 能 力 ,为 了 得 到 控制 口令 ,为 了 防止 编写 软件 拿 不 到 
报酬 预 留 的 陷阱 等 ; 当然 也 有 因 政 治 、 军 事 、 宗 教 、 民 族 、 专 利 等 方面 的 需求 而 专门 编写 
的 ,其 中 也 包括 一 些 病毒 研究 机 构 和 黑客 的 测试 病毒 。 


3.4 计算 机 病毒 的 传染 途径 


计算 机 病毒 之 所 以 称 为 病毒 是 因为 其 具有 传染 性 的 本 质 。 传 统 渠 道 通常 有 以 下 
几 种 : 

(1) 通过 U 盘 。 通 过 使 用 外 界 被 感染 的 软盘 ,例如 ,不 同 渠道 来 的 系统 盘 、 来 历 不 明 
的 软件 、 游 戏 盘 等 是 最 普遍 的 传染 途径 。 

(2) 通过 硬盘 。 通 过 硬盘 传染 也 是 重要 的 渠道 ,由 于 带 有 病毒 的 机 器 移 到 其 他 地 方 
使 用 、 维 修 等 ,将 干净 的 软盘 传染 并 再 扩散 。 

(3) 通过 网 络 。 这 种 传染 扩散 极 快 , 能 在 很 短 时 间 内 传 遍 网 络 上 的 机 器 。 


3.5 计算 机 病毒 的 特点 


1. 寄生 性 

计算 机 病毒 寄生 在 其 他 程序 之 中 , 当 执 行 这 个 程序 时 ,病毒 就 起 破坏 作用 ,而 在 未 启 
动 这 个 程序 之 前 , 它 是 不 易 被 人 发 觉 的 。 

2. 传染 性 

计算 机 病毒 不 但 本 身 具 有 破坏 性 ,更 有 害 的 是 具有 传染 性 ,一 旦 病毒 被 复制 或 产生 
变种 ,其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 , 病 毒 通过 传染 
从 一 个 生物 体 扩散 到 另 一 个 生物 体 。 在 适当 的 条 件 下 , 它 可 得 到 大 量 繁殖 ,使 被 感染 的 
生物 体 表现 出 病症 甚至 死亡 。 同 样 , 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 
扩散 到 未 被 感染 的 计算 机 ,是 否 具 有 传染 性 是 判别 一 个 程序 为 计算 机 病毒 的 最 重要 条 
件 。 病 毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 , 并 把 自身 符 入 到 其 中 的 方法 达到 病毒 
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的 传染 和 扩散 。 被 嵌入 的 程序 称 为 宿主 程序 。 

3. 潜伏 性 

有 些 病毒 像 定 时 炸弹 一 样 , 让 它 什 么 时 间 发 作 是 预先 设计 好 的 。 例 如 ,黑色 星期 五 
病毒 ,不 到 预定 时 间 一 点 都 觉察 不 出 来 ,等 到 条 件 具 备 的 时 候 一 下 子 就 爆炸 开 来 ,对 系统 
进行 破坏 。 一 个 编制 精巧 的 计算 机 病毒 程序 ,进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 在 
几 周 或 者 几 个 月 内 甚至 几 年 内 隐藏 在 合法 文件 中 ,对 其 他 系统 进行 传染 ,而 不 被 人 发 现 ， 
潜伏 性 越 好 ,其 在 系统 中 的 存在 时 间 就 会 越 长 ,病毒 的 传染 范围 就 会 越 大 。 潜 伏 性 的 第 
一 种 表现 是 指 病毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 ,因此 病毒 可 以 静 静 地 躲 在 磁 
盘 或 磁带 里 呆 上 几 天 ,甚至 几 年 ,一 旦 时 机 成 熟 ,得 到 运行 机 会 ,就 要 四 处 繁殖 、 扩 散 , 继 
续 为 害 。 潜 伏 性 的 第 二 种 表现 是 指 计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 , 不 满足 触发 
条 件 时 ,计算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ,有 的 在 屏幕 上 
显示 信息 、 图 形 或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 磁盘 文件 、 
对 数据 文件 做 加 密 、 封 锁 键 盘 以 及 使 系统 死 锁 等 。 

4. 隐蔽 性 

计算 机 病毒 具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 病毒 软件 检查 出 来 ,有 的 根本 就 查 不 
出 来 ,有 的 时 隐 时 现 、 变 化 无 常 ,这 类 病毒 处 理 起 来 通常 很 困难 。 

5. 破坏 性 

计算 机 中 毒 后 ,可 能 会 导致 正常 的 程序 无 法 运行 ,把 计算 机 内 的 文件 删除 或 受到 不 
同 程度 的 损坏 。 

6. 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 
性 。 为 了 隐蔽 自己 ,病毒 必须 潜伏 , 少 做 动作 。 如 果 完 全 不 动 , 一 直 潜 伏 的 话 ,病毒 既 不 
能 感染 也 不 能 进行 破坏 , 便 失 去 了 杀伤 力 。 病 毒 既 要 隐 项 又 要 维持 杀伤 力 , 它 必须 具有 
可 触发 性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 的 。 病 毒 具有 预定 的 
触发 条 件 ,这些 条 件 可 能 是 时 间 .日 期 ,文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ,和 触发 
机 制 检查 预定 条 件 是 否 满足 ,如 果 满 足 , 启 动感 染 或 破坏 动作 ,使 病毒 进行 感染 或 攻击 
如 果 不 满足 ,使 病毒 继续 潜伏 。 


3.6 计算 机 病毒 的 分 类 


根据 对 计算 机 病毒 的 研究 ,按照 科学 的 .系统 的 .严密 的 方法 ,计算 机 病毒 可 以 根据 
以 下 的 属性 进行 分 类 。 
1. 按照 计算 机 病毒 存在 的 媒体 进行 分 类 


根据 病毒 存在 的 媒体 ,病毒 可 以 划分 为 网 络 病毒 、 文 件 病毒 和 引导 型 病毒 。 网 络 病 
毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 感染 计算 机 中 的 文件 (如 


| 


L:: 


8 子 支付 与 信息 安全 实践 教程 、 


COM EXE .DOC 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR) 。 
还 有 这 三 种 情况 的 混合 型 ,例如 : 多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目 
标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系统 ,同时 使 用 了 加 

2. 按照 计算 机 病毒 传染 的 方法 进行 分 类 

根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 感染 计算 机 
后 ,把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系 统 调用 并 合并 到 操 
作 系 统 中 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 
并 不 感染 计算 机 内 存 , 一 些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ， 
这 类 病毒 也 被 划分 为 非 驻 留 型 病毒 。 

3. 按照 病毒 破坏 能 力 划分 

根据 病毒 破坏 能 力 可 分 为 无 害 型 .无 危险 型 .危险 型 和 非常 危险 型 病毒 。 

(1) 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 .发 出 声音 及 同类 音响 。 

(3) 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 : 这 类 病毒 删除 程序 破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 
的 信息 。 

这 些 病 毒 对 系统 造成 的 危害 ,并 不 是 本 身 的 算法 中 存在 危险 的 调用 ,而 是 当 它 们 传 
染 时 会 引起 无 法 预料 的 ,灾难 性 的 破坏 。 由 病毒 引起 其 他 的 程序 产生 的 错误 也 会 破坏 文 
件 和 扇 区 ,这 些 病 毒 也 按照 它们 引起 的 破坏 能 力 划 分 。 一 些 现在 的 无 害 型 病毒 也 可 能 会 
对 新 版 的 DOS、Windows 和 其 他 操作 系统 造成 破坏 。 例 如 ,在 早期 的 病毒 中 ,有 一 个 
“Denzuk” 病 毒 在 360K 磁盘 上 很 好 的 工作 ,不 会 造成 任何 破坏 ,但 是 在 后 来 的 高 密度 软 
盘 上 却 能 引起 大 量 的 数据 丢失 。 

4. 按照 病毒 特有 的 算法 划分 

根据 病毒 特有 的 算法 可 分 为 伴随 型 病毒 “蠕虫 型 病毒 和 寄生 型 病毒 。 

(1) 伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴 
随 体 , 具有 同样 的 名 字 和 不 同 的 扩展 名 (COM) ,例如 ,XCOPY. EXE 的 伴随 体 是 
XCOPY. COM。 病毒 把 自身 写 人 COM 文件 并 不 改变 EXE 文件 , 当 DOS 加 载 文件 时 ， 
伴随 体 优先 被 执行 再 由 伴随 体 加 载 执 行 原来 的 EXE 文件 。 

(2)“ 蠕 虫 ”型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 
机 器 的 内 存 传播 到 其 他 机 器 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 
它们 在 系统 中 存在 ,一 般 除了 内 存 不 占用 其 他 资源 。 

(3) 寄生 型 病毒 : 除了 伴随 型 和 “蠕虫 "型 病毒 .其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 
依附 在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 , 按 其 算法 不 同 又 可 分 为 练 
习 型 病毒 ,诡秘 型 病毒 和 变型 病毒 。 

练习 型 病毒 : 病毒 自身 包含 错误 ,不 能 进行 很 好 地 传播 ,例如 ,一 些 病 毒 在 调试 阶段 。 
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诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文件 
缓冲 区 等 DOS 内 部 修改 .不 易 看 到 资源 .使 用 比较 高 级 的 技术 。 利 用 DOS 空闲 的 数据 
区 进行 工作 。 

变型 病毒 (又 称 幽 灵 病 毒 ): 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 都 
具有 不 同 的 内 容 和 长 度 。 它 们 一 般 是 由 一 段 混 有 无 关 指令 的 解码 算法 和 被 变化 过 的 病 
毒 体 组 成 。 

5. 计算 机 病毒 的 危害 性 

计算 机 资源 的 损失 和 破坏 ,不 但 会 造成 资源 和 财富 的 巨大 浪费 ,而 且 有 可 能 造成 社 
会 性 的 灾难 , 随 着 信息 化 社会 的 发 展 ,计算 机 病毒 的 威胁 日 益 严 重 , 反 病毒 的 任务 也 更 加 
艰巨 了 。1988 年 11 月 2 日 下 午 5 时 1 分 59 秒 ,美国 康 奈 尔 大 学 的 计算 机 科学 系 研究 
生 ,23 岁 的 莫 里 斯 (Morris) 将 其 编写 的 蠕虫 程序 输入 计算 机 网 络 ,致使 这 个 拥有 数 万 台 
计算 机 的 网 络 被 堵塞 。 这 件 事 就 像 是 计算 机 界 的 一 次 大 地 震 , 引 起 了 巨大 反响 ,震惊 全 
世界 ,引起 了 人 们 对 计算 机 病毒 的 恐慌 ,也 使 更 多 的 计算 机 专家 重视 和 致力 于 计算 机 病 
毒 研 究 。1988 年 下 半年 ,我国 在 统计 局 系统 首次 发 现 了 * 小 球 ”病毒 , 它 对 统计 局 系统 影 
响 极 大 ,此 后 由 计算 机 病毒 发 作 而 引起 的 “病毒 事件 ”接连 不 断 , 之 后 发 现 的 CIH、 美 丽 杀 
等 病毒 更 是 给 社会 造成 了 很 大 损失 。 


3.7 中毒 的 诊断 


(1) 按 Ctrl 十 Shift 十 Esc 键 , 调 出 Windows 任务 管理 器 查看 系统 运行 的 进程 , 找 出 
不 熟悉 的 进程 并 记 下 其 名 称 (这 需要 经 验 ), 如 果 这 些 进程 是 病毒 的 话 ,以 便于 后 面 的 清 
除 。 暂 时 不 要 结束 这 些 进程 ,因为 有 的 病毒 或 非法 的 进程 可 能 在 此 没 法 结束 。 单 击 性 能 
查看 CPU 和 内 存 的 当前 状态 ,如 果 CPU 的 利用 率 接近 100% 或 内 存 的 占用 值 居 高 不 下 ， 
此 时 计算 机 中 毒 的 可 能 性 是 95% 。 

(2) 查看 Windows 当前 启动 的 服务 项 ,执行 “开始 ”控制 面板 ”管理 工具 ”一 
“服务 ”命令 ,在 打开 的 “服务 "窗口 中 查看 右 栏 状态 为 “启动 ”启动 类 别 为 “自动 ”项 的 行 。 
一 般 而 言 , 正 常 的 Windows 服务 ,基本 上 是 有 描述 内 容 的 (少数 被 黑客 或 蠕虫 病毒 伪造 
的 除外 ) ,此 时 双击 打开 认为 有 问题 的 服务 项 查看 其 属性 中 的 可 执行 文件 的 路 径 和 名 称 ， 
假如 其 名 称 和 路 径 为 C:\winnt\system32\explored. exe, 计 算 机 中 毒 。 另 一 种 情况 是 “ 控 
制 面 板 ? 打 不 开 或 者 是 所 有 里 面 的 图 标 跑 到 左边 ,中 间 有 一 纵向 的 滚动 条 ,而 右边 为 空 
白 ,再 双击 添加 /删除 程序 或 管理 工具 , 窗 体内 是 空 的 ,这 是 病毒 文件 winhlpp32. exe 发 作 
的 特性 。 

(3) 运行 注册 表 编 辑 器 ,命令 为 regedit 或 regedt32 ,查看 都 有 哪些 程序 与 Windows 
操作 系统 一 起 启动 。 主 要 查看 Hkey_Local_Machine\ Software\microsoft\ Windows\ 
CurrentVersion\Run 和 后 面 几 个 RunOnce 等 ,查看 窗 体 右 侧 的 项 值 ,查看 是 否 有 非法 的 
启动 项 。Windows XP 运行 msconfig 也 起 相同 的 作用 。 随 着 经 验 的 积累 ,可 以 轻易 地 判 
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断 病 毒 的 启动 项 。 

(4) 用 浏览 器 上 网 判断 。 以 前 发 作 的 Gaobot 病毒 ,可 以 上 yahoo. com .sony. com 等 
网 站 ,但 是 不 能 访问 诸如 www. symantec. com、www. ca. com 这 样 著名 的 安全 厂商 的 网 
站 ,安装 的 杀毒 软件 不 能 上 网 升级 。 

(5) 取消 隐藏 属性 ,查看 系统 文件 夹 winnt(windows)\system32 ,如 果 打 开 后 文件 夹 
为 空 , 表 明 计 算 机 已 经 中 毒 ; 打开 system32 后 ,可 以 对 图 标 按 类 型 排序 ,查看 有 没有 流行 
病毒 的 执行 文件 存在 。 顺 便 查 一 下 文件 夹 Tasks winssdrivers。 有 的 病毒 执行 文件 就 藏 
身 于 此 ; drivers\etc 下 的 文件 hosts 是 病毒 喜欢 算 改 的 对 象 , 它 本 来 只 有 700B 左右 ,被 
算 改 后 就 成 了 1KB 以 上 ,这 是 造成 一 般 网 站 能 访问 而 安全 厂商 网 站 不 能 访问 、 著 名 杀毒 
软件 不 能 升级 的 原因 所 在 。 

(6) 由 杀毒 软件 判断 是 否 中 毒 ,如 果 中 毒 ,杀毒 软件 会 被 病毒 程序 自动 终止 ,并 且 手 
动 升级 失败 。 


3.8 病毒 预防 


要 预防 计算 机 网 络 病毒 ,首先 是 不 要 随便 从 小 的 个 人 网 站 上 下 载 软 件 。 下 载 软件 要 
到 知名 度 高 .信誉 良好 的 站 点 ,通常 这 些 站 点 软件 比较 安全 。 其 次 不 要 过 于 相信 和 随便 
运行 别人 给 的 软件 。 要 经 常 检查 自己 的 系统 文件 ,注册 表 .端口 等 ,多 注意 安全 方面 的 信 
息 ,再 次 就 是 修改 Windows 关于 隐藏 文件 扩展 名 的 默认 设置 ,这 样 可 以 看 清楚 文件 真正 
的 扩展 名 。 当 前 许多 反 病 毒 软件 都 具有 查 杀 “木马 ”或 后门 "程序 的 功能 ,但 仍 需 更 新 和 
采用 先进 的 防 病毒 软件 。 最 后 要 提醒 的 是 : 如 果 突 然 发 现 自己 的 计算 机 硬盘 莫名 其 妙 的 
工作 ,或 者 在 没有 打开 任何 连接 的 情况 下 Modem 还 在 “ 皮 眼 睛 "就 立刻 断 开 网 络 连接 , 进 
行 木马 的 搜索 。 邮 件 病毒 主要 通过 电子 邮件 进行 传染 的 ,而 且 大 多 通过 附件 夹带 ,了 解 
了 这 一 点 ,对 于 该 类 病毒 的 防范 就 比较 明确 和 容易 ,要 想 预防 计算 机 网 络 病 毒 ,还 要 做 到 
以 下 几 点 。 

(1) 不 要 轻易 打开 陌生 人 来 信 中 的 附件 ,尤其 是 一 些 . EXE 类 的 可 执行 文件 。 

(2) 对 于 比较 熟悉 的 朋友 发 来 的 邮件 ,如 果 其 信 中 带 有 附件 却 未 在 正文 中 说 明 ,也 不 
要 轻易 打开 附件 ,因为 它 的 系统 也 许 已 经 感染 病毒 。 

(3) 不 要 盲目 转发 邮件 。 给 别人 发 送 程序 文件 甚至 电子 贺卡 时 ,可 先 在 自己 的 计算 
机 中 试 一 试 ,确认 没有 问题 后 再 发 ,以 免 无 意 中 成 为 病毒 的 传播 者 。 

(4) 如 果 收 到 主题 为 "I LOVE YOU” 的 邮件 后 立即 删除 ,更 不 要 打开 附件 。 

(5) 随时 注意 反 病毒 警报 ,及 时 更 新 杀毒 软件 的 病毒 代码 库 。 从 技术 手段 上 ,可 安装 
具有 监测 邮件 系统 的 反 病 毒 实时 监控 程序 .随时 监测 系统 行为 ,如 使 用 最 新 版 本 的 杀毒 
实时 软件 来 查 杀 该 附件 中 的 文件 。 切 记 要 注意 一 点 ,预防 与 消除 病毒 是 一 项 长 期 的 工作 
任务 ,不 是 一 劳 永 逸 的 ,应 坚持 不 懈 。 
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3.9 计算 机 病毒 的 清除 


计算 机 病毒 的 清除 ,最 常用 的 是 杀毒 软件 。 国 产 杀 毒 软 件 主 要 有 瑞星 、 江 民 、 金 山 毒 
霸 等 ; 国外 杀毒 软件 有 Kaspersky、PC-Cillion、 Norton、 McAfee 等 。 至 于 哪 种 杀毒 软件 
最 好 ,或 者 说 更 好 ,众说 纷 颖 。 但 是 ,不 管 选择 哪 种 杀毒 软件 ,一 定 要 使 用 正版 的 杀毒 软 
件 , 切 记 不 要 使 用 盗版 杀毒 软件 。 如 果 计 算 机 有 疑似 感染 病毒 的 症状 时 ,可 以 采取 如 下 
应 急 措施 。 

(1) 将 杀毒 软件 升级 至 最 新 版 ,进行 全 盘 杀 毒 。 最 好 使 用 自动 升级 功能 在 线 升级 ,如 
果 不 能 自动 升级 ,也 可 以 下 载 最 新 的 升级 包 ,进行 离线 升级 。 

(2) 如 果 杀 毒 软件 不 能 清除 病毒 ,或 者 重新 启动 计算 机 后 病毒 再 次 出 现 。 则 应 该 进 
和 安全 模式 进行 查 杀 。 进 入 安全 模式 的 方法 是 : 在 计算 机 启动 自 检 时 按 F8 键 ,会 出 现 各 
种 启动 模式 的 选择 菜单 ,选择 “安全 模式 ”选项 即 可 。 

(3) 有 些 病 毒 造 成 杀毒 软件 无 法 启动 , 则 需要 根据 现象 ,判断 病毒 的 种 类 ,使 用 相应 
的 专 杀 工具 进行 查 杀 。 因 为 这 类 病毒 虽然 能 自动 关闭 杀毒 软件 ,但 一 般 不 会 关闭 专 杀 工 
具 。 使 用 专 杀 工 具 查 杀 后 ,升级 或 重 装 杀毒 软件 ,再 按 上 面 所 述 的 方法 进行 杀毒 。 

(4) 如 果 病 毒 非常 顽固 ,使 用 多 种 方法 都 不 能 彻底 查 杀 , 则 最 好 格式 化 并 重 装 操作 系 
统 。 但 是 在 重 装 操作 系统 后 ,切记 不 能 直接 打开 除 C 盘 外 的 其 他 盘 , 和 否则 病毒 又 会 被 激 
活 。 必 须 先 做 好 防护 措施 ,安装 杀毒 软件 ,并 升级 至 最 新 版 ,对 所 有 硬盘 进行 杀毒 。 在 确 
保 没 有 病毒 的 情况 下 再 打开 其 他 盘 。 

(5) 有 个 别 病毒 在 重 装 操作 系统 后 仍 无 法 彻底 清除 , 则 只 好 对 硬盘 进行 重新 分 区 或 
进行 格式 化 处 理 。 


实验 5 ”病毒 清除 


一 、 实 验 目 的 

了 解 什么 是 病毒 危害 性 ,了解 病毒 破坏 系统 方式 ,学 会 简单 的 清除 病毒 。 

二 、 实 验 原理 

计算 机 病毒 是 一 种 恶意 计算 机 代码 ,可 以 破坏 系统 程序 ,占用 空间 , 盗 取 账 号 和 密 
码 。 严 重 可 以 导致 网 络 、 系 统 瘫痪 。 

清除 方法 : 使 用 安全 的 杀毒 软件 清除 或 了 解 其 原理 通过 手工 清除 。 

通过 Windows 任务 管理 器 等 各 种 系统 自 带 程序 进行 疑点 排查 ,逐一 清除 病毒 。 

找 出 病毒 真实 路 径 ,进行 查 杀 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) 硬件 设备 : 计算 机 两 台 PC-A、PC-B。 


sm 
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(2) 软件 工具 : 冰河 木马 控制 端 ; 文件 夹 EXE 病毒 。 

2. 实验 角色 

单 人 操作 或 双人 合作 。 

3. 实验 步骤 

1) 冰河 木马 

本 实验 将 终端 PC-A 作为 远程 控制 攻击 端 ,PC-B 作为 受 控 端 进行 试验 。 
(1) 在 终端 PC-B 上 ,打开 Windows 任务 管理 器 ,结果 如 图 3.1 所 示 。 


= 上 gz 
文件 外 选项 吕 )， 查 看 呈 ， 帮助 0 


应 用 程序 | 进程 [ 班 琅 联网 | 用 户 | 


物理 内 存 四) 
总 数 


可 用 数 
系统 缓存 


核心 内 存 加 ) 
总 数 


分 页 数 
| 未 分 页 


图 3.1 Windows 任务 管理 器 的 初始 状态 


(2) 在 PC-B 上 运行 G_server. exe, 再 次 打开 Windows 任务 管理 器 ,结果 如 图 3.2 所 示 。 


旦 indovs 任务 管理 器 =|D| | 
文件 四 选项 四 查看 WW 帮助 0 


应 用 程序 | 进程 [ 竹 芒 | 联网 | 用 户 | 
FT 全 用 一 | -cv 使 用 记录 


随 程 数 : 31 内 存 使 用 :1941 7 1456M 各 


图 3.2 运行 G_server. exe 后 Windows 任务 管理 器 的 状态 


提示 : 

实际 环境 中 可 以 通过 邮件 、 链 接 等 方式 将 被 控制 端木 马 注入 到 被 控制 端 。 这 个 程序 
需要 在 被 控制 端 引诱 运行 。 通 常 是 做 成 美丽 的 图 片 作为 伪装 ,或 是 通过 QQ 发 送 , 使 其 
运行 等 。 

(3) 在 安装 G_server. exe 之 前 ,查看 PC-B 中 的 资源 管理 器 的 进程 和 性 能 的 运行 
情况 。 

(4) 在 PC-A, 打 开 控 制 端 程序 : G_CLIENT. EXE, 如 图 3.3 所 示 。 


10k8 


图 3.3 运行 G_CLIENT. EXE 
(5) 在 冰河 主 窗口 下 , 单 击 * 添 加 计算 机 ”图 标 , 如 图 3.4 所 示 。 


Ee 


| Soe mo wanes:[ mc | 


图 3.4 添加 计算 机 


(6) 在 显示 名 称 中 输入 PC-B 的 IP 地 址 (本 实验 中 为 192. 168. 1. 20) 。 

提示 : 

一 般 地 如 果 网 内 有 多 台 设备 被 植 入 程序 ,可 以 用 扫描 工具 扩大 扫描 范围 ,以 获取 所 
有 的 被 控 主 机 。 

(7) 单 击 终端 PC-A 冰河 主 窗口 下 的 “冰河 信使 "图 标 , 输 入 任何 内 容 ( 本 实验 中 为 冰 
河 测试 ), 单 击 “ 发 送 ” 按 钮 ,如 图 3. 5 所 示 , 在 PC-B 端 ,弹出 “冰河 信使 "窗口 。 这 样 在 
PC-B 和 PC-A 间 就 建立 起 了 通信 。 

(8) 在 PC-B 上 ,将 看 到 接收 到 的 “冰河 信使 "窗口 。 

(9) 现在 回 到 被 攻击 方 一 一 机 架 服 务 器 Windows 系统 ,打开 Windows 任务 管理 器 ， 
找到 kernel32. exe 进程 ,关闭 该 进程 。 这 个 进程 就 是 受 控 的 守护 程序 ,通过 它 的 隐藏 ,使 
系统 常常 被 黑客 随意 联 人 控制 。 

(10) 回 到 控制 端 ,重新 扫描 ,发 现 已 经 无 法 扫描 成 功 ,完成 破解 攻击 ,如 图 3.6 所 示 。 

2) 蠕虫 病毒 

(1) 插入 品 盘 ,格式 化 .并 在 根 目录 下 新 建 3 一 4 个 空 文件 夹 ,并 退出 UU 盘 。 

(2) 解压 桌面 上 的 病毒 样本 (Recycled. rar) ,并 运行 。 


?ror riles 
ECTCLER 

Systen Yolune 工 

国 rzmovs 
AVTOEXEC BAT 


Doot ini 
bootfont, bin 


图 3.5 启动 冰河 信使 


图 3.6 扫描 失败 


(3) 插入 U 盘 , 并 双击 U 盘 图 标 进入 ,一 切 看 似 正 常 ,但 右 击 查看 其 属性 ,发 现 这 并 
不 是 空 文件 夹 , 如 图 3.7 所 示 。 


mia 空 的 文件 夹 为 何 都 显示 
1. 43MB 大 小 ? 


图 3.7 文件 夹 属性 


(4) 选择 “工具 ”一 “文件 夹 选项 ”选项 ,然后 在 “文件 夹 选项 ”对 话 框 的 “查看 ”选项 卡 
中 去 掉 隐藏 已 知 扩 展 名 ,显示 隐藏 文件 夹 和 显示 隐藏 系统 文件 。 

(5) 回 到 U 盘查 看 ,发 现 问题 了 ,U 盘 中 多 了 autorun. inf 文件 和 文件 夹 一 样 的 图 标 
却 是 以 . exe 结尾 的 文件 ,如 图 3. 8 所 示 。 真 实 的 文件 夹 被 隐藏 ,试图 取消 Recycle. exe 的 
隐藏 属性 却 不 成 功 。 


图 3.8 U 盘 中 的 隐藏 信息 
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(6) 把 U 盘 中 autorun. inf 的 只 读 属性 去 掉 , 用 记事 本 程序 打开 ,发 现 无 论 双击 还 是 
击 打开 U 盘 , 自 动 播放 都 先 指向 名 为 “Recycle. exe” 的 病毒 文件 ,如 图 3. 9 所 示 。 

(7) 我 们 可 以 做 一 个 实验 ,把 autorun. inf 中 Recycle. exe 的 部 分 换 成 abc. bat。 

U 盘 根 目录 新 建 记事 本 文件 ,输入 以 下 代码 : 


a 


@echo off 
Echo hellow 
pause 


保存 后 重 命 名 文件 为 abc. bat。 
退出 U 盘 , 再 插入 计算 机 中 ,双击 U 盘 盘 符 ,abc. bat 被 先 打开 了 ,如 图 3. 10 所 示 。 


P 
shell\1\Comfand=Recycled .exe 
shell\2\= 浏 及 ChB 


shell\2\Comfand=Recycled .exe 
=Recycled.exe 


shellexecu 
图 3.9 autorun. inf 图 3.10 执行 abc. bat 


C: \WINDOYS\s 


he llou 


请 按 任意 


如 果 那 是 病毒 的 话 且 在 其 他 计算 机 中 ,等 于 是 在 传播 病毒 。 

autorun. in{f 并 不 是 病毒 的 代名词 ,是 一 个 自动 运行 的 文件 ,原来 是 用 来 美化 与 优化 
用 的 ,而 病毒 就 是 利用 了 这 一 点 ,使 U 盘 ath 毒 

(8) 开始 手动 清除 病毒 。 执 行 “ 开 始 ”- 盖 运行 ”命令 ,在 打开 的 “运行 ?对 话 框 中 输入 
cmd, 打开 ee 示 符 

输入 : ” 回 车 , 先 定 位 到 你 的 U 盘 根 目 录 下 (X 为 你 的 U 盘 盘 符 ) 。 

输入 :“attrib/s/d-h-s" 回 车 ,来 清除 U 盘 中 所 有 的 系统 属性 和 隐藏 属性 ,如 图 3. 11 
所 示 。 


C: WINDOTS\systen32\cnd * 


Microsoft Windous XP [上 本 5.1.2660] 
5C) 版 权 所 有 1985-28@1 Hicresaft Corp- 


C:\Documents and Settings\hdninistrataor>ei 
E: Yaterib /s /d -s =-h 


:> 


图 3.11 执行 attrib/s/d-h-s 


(9) 双击 “我 的 电脑 ”图 标 , 在 地 址 栏 输入 “*X:“”, 避 免 再 次 触发 病毒 进入 U 盘 , 删 除 
autorun. inf 和 一 些 有 着 文件 夹 外 表 的 却 以 . exe 结尾 的 病毒 ,如 有 Recycle. exe 一 起 
删除 


(10) 病毒 运行 时 会 在 C:\WINDOWS\system32\ 目 录 下 生成 XP-290F2C69. EXE 
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文件 (后 8 位 随机 ) , 找 出 并 删除 。 可 发 现 删除 不 掉 , 说 明 有 程序 正在 使 用 ,打开 任务 管理 
器 ( 按 Ctrl+ Alt 十 Delete 键 ) 结 束 可 疑 进程 (与 病毒 同名 ) ,再 删除 。 

4. 思考 题 

(1) 从 网 上 了 解 更 多 关于 病毒 清除 的 实验 。 

(2) 了 解 一 些 病毒 对 注册 表 的 修改 。 


实验 6 网 络 逻 辑 炸 弹 


一 、 实 验 目 的 

通过 基于 HTML 语言 的 VBScript、JavaScript 脚本 ,学 习 “ 人 逻辑 炸弹 ”的 形成 代码 形 
式 以 及 了 解 危害 。 

二 、 实 验 原 理 

2002 年 2 月 ,一 名 瑞 银 普 惠 金融 公司 的 前 雇员 罗 杰 。 杜 罗 尼 奥 (Roger Duronio) 因 
为 对 公司 的 奖金 发 放 制 度 心 怀 不 满 , 于 是 在 公司 网 络 里 安置 了 一 个 逻辑 炸弹 ,代码 运行 
后 使 1000 多 台 计 算 机 丢失 重要 文件 ,导致 公司 股票 下 跌 。 这 名 员工 在 2006 年 被 判 人 狱 
8 年 。 

“逻辑 炸弹 ”是 指 在 特定 逻辑 条 件 满足 时 ,实施 破坏 计算 机 程序 ,该 程序 触发 (激活 ) 
后 造成 计算 机 数据 丢失 ,计算 机 不 能 从 硬盘 或 者 软盘 引导 ,甚至 会 使 整个 系统 瘫痪 ,并 出 
现 物理 损坏 的 虚假 现象 。 

“逻辑 炸弹 ?引发 时 的 症状 与 某 些 病毒 的 作用 结果 相似 ,并 会 对 社会 引发 连带 性 的 灾 
难 。 与 病毒 相 比 , 它 强调 破坏 作用 本 身 , 而 实施 破坏 的 程序 不 具有 传染 性 。 一 个 "逻辑 炸 
弹 ” 是 非常 类 似 的 一 个 真实 世界 的 地 雷 。 

最 常见 的 激活 一 个 逻辑 炸弹 是 一 个 日 期 。 逻 辑 炸弹 检查 系统 日 期 ,直到 预先 编程 的 
日 期 和 时 间 达 成 共识 ,逻辑 炸弹 被 激活 并 执行 它 的 代码 。 

因为 一 个 逻辑 炸弹 不 自我 复制 ,这 是 很 容易 编写 一 个 逻辑 炸弹 的 计划 。 这 也 意味 着 
一 个 多 辑 炸弹 将 不 会 草 延 到 意 想 不 到 的 受害 者 。 在 某 些 方面 , 迎 辑 炸弹 是 最 文明 的 程序 
的 威胁 ,因为 一 个 逻辑 炸弹 ,必须 针对 特定 的 受害 者 。 

三 、 实验 内 容 

1. 实验 环境 

(1) 硬件 设备 : 小 组 PC(Windows Server 2003 系统 ) 一 台 。 

(2) 软件 工具 : IE 浏览 器 和 写字 板 编 辑 软件 。 

2. 实验 步骤 

1) 利用 JavaScript 脚本 语言 ,实现 Windows 弹出 功能 。 

(1) 新 建 记事 本 文件 ,输入 下 面 的 代码 。 


<html ><head ><title> LoopTest </title> 井 标题 栏 名 称 


so 
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<metahttp— equiv = "Content - TYpe"content = "text/htm1; charset = gb2312"> 


<scriptlanguage = "JavaScript"> 井 进入 JavaScript 语言 
functionpop( ) 井 定义 函数 
{for(i=1; i<=10; i4+) # 循 环 出 现 窗 体 的 次 数 


{window. open 
(‘http: # www. sohu. com'v "', "width = 400, height = 460', 'status = off', 'location = off', 'toolbar = 
off', 'scrollbars = off') # 定 义 打开 网 页 的 地 址 及 窗口 大 小 等 
} 
} 
</script > 并 JavaScript 语言 结束 
</head >< bodybgcolor = " #FFFFFF"text = "#000000"> 
# 定 义 窗 体 背 景色 等 颜色 FFFFFF 为 黑色 ,000000 为 白色 


<formname = "form"> 


<p> inputtype = "button"value = "一 按 你 就 知道 了 "onClick = "pop()"name ="button" class = 
"unnamed1"> # 创 建 按钮 </p> 
</form></body ></html > 


(2) 保存 后 运行 ,完成 后 修改 后 级 名 ,把 txt 换 成 html。 
(3) 双击 运行 效果 如 图 3. 12 所 示 。 


(SLoop Test - Windovs Internet Explorer 


1 问 C:\Docments snd Settings\hdninistrator\ 舌 面 \ 新 建 文本 文档 htal 
文件 中 篇 缠 ) 查看 WD 收藏 天 W) 工具 (MD) 表 助 外 


请 收 蒜 天 “” 诸 图 百度 -下 , 他 六 知 道 篇 " 
乱 wo Test 
食 为 了 有 利于 保护 安全 性 ，Internet Explorer 已 限制 此 网 页 去 行 可 以 访问 计算 机 的 则 本 或 hetive 控件 。 清 间 击 这 时 获取 进项 


图 3.12 执行 后 效果 


(4) 使 其 允许 ActiveX 控件 ,如 图 3. 13 所 示 。 


Loop Test Windows Internet Explorer 
OO 起 ] C: \Docunents and Settings\Adninistrator\ 点 面 \ 新 建 文本 文档 . htnl 
文件 吧 ) ， 蚁 辑 邓 ) 查看 WW) 收藏 天 必 ) 工具 并 ) 。 帮助) 
突 收藏 天 | 次 图 百度 一 下 , 你 就 知道 节 寺 这 网 站 - 
] 硬 Do Test | 


哇 为 了 有 利于 保护 安全 性 ,Internet Explorer 已 限制 此 网 页 运行 可 以 访问 计算 机 的 脚本 或 ActiveX 控件 。 请 单 击 这 里 获取 选项 


一 按 你 就 知道 了 


和 ActiveX 控件 ) 可 能 对 修 有 所 帮助 。 
内 容 可 能 也 会 危害 效 的 十 算 机 - 


您 确实 要 让 此 文件 运行 活动 内 容 吗 ? 


图 3.13 允许 ActiveX 控件 


(5) 单 击 “ 一 按 你 就 知道 了 ”按钮 ,观察 效果 。 搜 狐 网 页 以 宽 400、 高 460 的 大 小 被 瞬 
间 打 开 10 次 ,如 图 3. 14 所 示 。 
如 果 把 for 循环 改 成 一 个 死 循环 , 那 对 系统 的 破坏 性 就 很 可 怕 。 
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图 3.14 运行 实验 程序 后 的 效果 


2) 炸弹 欺骗 攻击 
(1) 新 建 记事 本 , 重 命 名 为 bomp. txt。 
(2) 输入 下 面 代码 : 


<HTML> 

< scriptlanguage = 'VBScript'> ##VBScript 语言 开始 

DIMbomp 提 定义 bomp 

setbomp = CreateObject( "WScript. Shell") # 建 立 对 象 

bomp. run( "C:\Windows\notepad. exe" ) # 指 定 程序 运行 时 打开 的 文件 
# VBScript 语言 结束 

</SCRIPT > 

</HTML > 


(3) 完成 后 保存 , 重 命名 文件 ,修改 其 后 组 名 为 bomp. html。 

(4) 双击 运行 bomp. html。 

(5) 允许 ActiveX 控件 ( 同 实验 1))。 

(6) 运行 效果 ,如 图 3. 15 所 示 。 

(7) 还 可 以 让 附带 打开 的 程序 隐藏 ,只 需 在 bomp. run("C:\Windows\notepad. 
exe") 中 添加 “,vbhide”, 即 bomp. run("C:\Windows\notepad. exe"), vbhide, 再 运行 
bomp. html, 表 面 上 像 无 记事 本 程序 打开 。 
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3.15 记事 本 文件 被 随 着 网 页 打开 而 打开 


(8) 再 打开 Windows 任务 管理 器 查看 ,记事 本 程序 其 实 已 经 打开 ,而 用 户 并 不 知道 。 
在 bomp. run("C:\WindowsNnotepad. exe") 语 句 中 ,可 以 修改 成 其 他 文件 ,比如 说 是 一 
个 已 存在 计算 机 中 的 恶意 程序 等 ,此 时 它 的 破坏 性 就 非常 可 怕 。 


3. 思考 题 
(1) 尝试 编写 一 些 基 于 WSH(WindowsScript Host) 环 境 的 脚本 语言 ,并 使 之 形成 死 
循环 。 


(2) 体会 浏览 器 对 ActiveX 控件 阻止 的 重要 性 以 及 如 何 对 上 网 浏览 器 的 恰当 设置 。 


4.1 引言 


信息 和 应 用 安全 本 身 包括 的 范围 很 大 ,大 到 国家 军事 政治 等 机 密 安 全 ,小 范围 的 当 
然 还 包括 如 防范 商业 企业 机 密 泄露 防范 青少年 对 不 良 信息 的 浏览 .个 人 信息 的 泄露 等 。 
网 络 环境 下 的 信息 和 应 用 安全 体系 是 保证 信息 安全 的 关键 ,包括 计算 机 安全 操作 系统 、 
各 种 安全 协议 ,安全 机 制 (数字 签名 \ 信 息 认 证 ,数据 加 密 等 ), 直 至 安全 系统 ,其 中 任何 一 
个 安全 漏洞 便 可 以 威胁 全 局 安全 。 

我 国 的 改革 开放 带 来 了 各 方面 信息 量 的 急剧 增加 ,并 要 求 大 容量 、 高 效率 地 传输 这 
些 信息 。 为 了 适应 这 一 形势 ,通信 技术 发 生 了 前 所 未 有 的 爆炸 性 发 展 。 目 前 , 除 有 线 通 
信和 外 ,短波 、 超 短波 、 微 波 、 卫 星 等 无 线 电 通信 也 正在 越 来 越 广泛 地 应 用 。 与 此 同时 ,国外 
敌对 势力 为 了 窃取 我 国 的 政治 、 军 事 、 经 济 、 科 学 技术 等 方面 的 秘密 信息 ,运用 侦察 台 、\ 侦 
察 船 \ 卫 星 等 手段 ,形成 固定 与 移动 、 远 距离 与 近 距 离 . 空 中 与 地 面相 结合 的 立体 侦察 网 ， 
截取 我 国 通信 传输 中 的 信息 。 


4.2 Serv-U 搭建 FTP 


4.2.1 Serv-U 简介 


Serv-U 是 一 种 被 广泛 运用 的 FTP 服务 器 端 软件 ,支持 3x/9x/ ME/NT/2K 等 全 
Windows 系列 。 可 以 设 定 多 个 FTP 服务 器 、 限 定 登录 用 户 的 权限 、 登 录 主 目录 及 空间 大 
小 等 ,功能 非常 完备 。 它 具有 非常 完备 的 安全 特性 ,支持 SSL FTP 传输 ,支持 在 多 个 
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Serv-U 和 FTP 客户 端 通 过 SSL 加 密 连接 保护 数据 安全 等 。 

Serv-U 是 目前 众多 的 FTP 服务 器 软件 之 一 。 通 过 使 用 Serv-U, 用 户 能 够 将 任何 一 
台 PC 设置 成 一 个 FTP 服务 器 ,这 样 ,用 户 或 其 他 使 用 者 就 能 够 使 用 FTP 协议 ,通过 在 
同一 网 络 上 的 任何 一 台 PC 与 FTP 服务 器 连接 ,进行 文件 或 目录 的 复制 .移动 ,创建 和 删 
除 等 。 这 里 提 到 的 FTP 协议 是 专门 被 用 来 规定 计算 机 之 间 进 行文 件 传输 的 标准 和 规 
则 , 正 是 因为 有 了 像 FTP 这 样 的 专门 协议 , 才 使 得 人 们 能 够 通过 不 同类 型 的 计算 机 ,使 
用 不 同类 型 的 操作 系统 ,对 不 同类 型 的 文件 进行 相互 传递 。 


4.2.2 Serv-U 的 原理 


Serv-U 由 引擎 和 用 户 界面 两 大 部 分 组 成 。Serv-U 引擎 (ServUDaemon. exe) 其 实 
是 一 个 常 驻 后 台 的 程序 ,也 是 Serv-U 整个 软件 的 心脏 部 分 , 它 负责 处 理 来 自 各 种 
FTP 客户 端 软件 的 FTP 命令 ,也 是 负责 执行 各 种 文件 传送 的 软件 。 在 运行 Serv-U 
引擎 也 就 是 ServUDaemon. exe 文件 后 ,我 们 看 不 到 任何 的 用 户 界面 , 它 只 是 在 后 台 运 
行 , 通 常 我 们 无 法 影响 它 , 但 在 ServUAdmin. exe 中 我 们 可 以 停止 和 开始 它 。Serv-U 引 
擎 可 以 在 任何 Windows 平台 下 作为 一 个 本 地 系统 服务 来 运行 ,系统 服务 随 操作 系统 的 
启动 而 开始 运行 , 而 后 我 们 就 可 以 运行 用 户 界面 程序 了 。Serv-U 用 户 界面 
(ServUAdmin. exe) 也 就 是 Serv-U 管理 员 , 它 负责 与 Serv-U 引擎 之 间 的 交互 。 它 可 以 
让 用 户 配 置 Serv-U, 包 括 创建 域 .定义 用 户 并 告诉 服务 器 是 否 可 以 访问 。 启 动 Serv-U 
管理 员 最 简单 的 办 法 就 是 直接 单 击 系统 栏 的 “U” 形 图 标 , 当然 ,也 可 以 从 “开始 ”菜单 
中 运行 它 。 


4.2.3 Serv-U 的 功能 


(1) 符合 Windows 标准 的 用 户 界面 友好 亲切 ,易于 掌握 。 

(2) 支持 实时 的 多 用 户 连 接 ,支持 匿名 用 户 的 访问 。 

(3) 通过 限制 同一 时 间 最 大 的 用 户 访 问 人 数 确保 PC 的 正常 运转 。 

(4) 安全 性 能 出 众 。 在 目录 和 文件 层次 都 可 以 设置 安全 防范 措施 。 

(5) 能 够 为 不 同 用 户 提 供 不 同 设置 .支持 分 组 管理 数量 众多 的 用 户 。 

(6) 可 以 基于 IP 对 用 户 授予 或 拒绝 访问 权限 。 

(7) 支持 文件 上 传 和 下 载 过 程 中 的 断 点 续 传 。 

(8) 支持 拥有 多 个 IP 地 址 的 多 宿主 站 点 。 

(9) 能 够 设置 上 传 和 下 载 的 比率 、 硬 盘 空 间 配 额 \、 网 络 使 用 带宽 等 ,从 而 能 够 保证 用 
户 有 限 的 资源 不 被 大 量 的 FTP 访问 用 户 所 消耗 。 

(10) 可 作为 系统 服务 后 台 运 行 。 

(11) 可 自用 设置 在 用 户 登录 或 退出 时 的 显示 信息 ,支持 具有 UNIX 风格 的 外 部 
链接 。 


_。 第 4 章 应 用 安全 篇 


4.3 FTP 


4.3.1 FTP 简介 


FTP 一 一 文件 传输 协议 (File Transfer Protocol) 是 一 个 用 于 在 两 台 装 有 不 同 操作 系 
统 的 机 器 中 传输 计算 机 文件 的 软件 标准 。 它 属于 网 络 协议 组 的 应 用 层 。FTP 是 一 个 8 
位 的 客户 端 -服务 器 协议 ,能 操作 任何 类 型 的 文件 而 不 需要 进一步 处 理 , 就 像 MIME 或 
Unencode 一 样 。 但 是 ,FTP 有 着 极 高 的 延 时 ,这 意味 着 ,从 开始 请 求 到 第 一 次 接收 需求 
数据 之 间 的 时 间 会 非常 长 。 

FTP 服务 一 般 运行 在 20 和 21 两 个 端口 。 端 口 20 用 于 在 客户 端 和 服务 器 之 间 传 输 
数据 流 , 而 端口 21 用 于 传输 控制 流 ,并 且 是 命令 通 向 FTP 服务 器 的 进口 。 当 数据 通过 数 
据 流传 输 时 ,控制 流 处 于 空闲 状态 。 而 当 控 制 流 空 闲 很 长 时 间 后 ,客户 端的 防火 墙 会 将 
其 会 话 置 为 超时 ,这 样 当 大 量 数据 通过 防火 墙 时 ,会 产生 一 些 问题 。 此 时 ,虽然 文件 可 以 
成 功 的 传输 ,但 因为 控制 会 话 会 被 防火 墙 断 开 ,传输 会 产生 一 些 错误 。 


4.3.2 FTP 的 功能 


FTP 具有 以 下 功能 : 

(1) 促进 文件 的 共享 (计算 机 程序 或 数据 ) 。 

(2) 鼓励 间接 或 者 隐 式 的 使 用 远程 计算 机 。 

(3) 向 用 户 屏蔽 不 同 主机 中 各 种 文件 存储 系统 的 细节 。 
(4) 可 靠 和 高 效 的 传输 数据 。 


4.3.3 FTP 的 缺点 


FTP 具有 以 下 缺点 : 

(1) 密码 和 文件 内 容 都 使 用 明文 传输 ,可 能 产生 不 希望 发 生 的 窃听 。 

(2) 因为 必需 开放 一 个 随机 的 端口 以 建立 连接 , 当 防火 墙 存在 时 ,客户 端 很 难过 滤 处 
于 主动 模式 下 的 FTP 流量 。 


4.3.4 ”FTP 的 应 用 原理 


FTP 也 是 基于 C/S 模式 而 设计 的 。 在 进行 FTP 操作 时 , 既 需 要 客户 应 用 程序 ,也 需 
要 服务 器 端 程序 。 我 们 一 般 先 在 自己 的 计算 机 中 执行 FTP 客户 应 用 程序 ,在 远程 服务 
器 中 执行 FTP 服务 器 应 用 程序 ,这 样 ,就 可 以 通过 FTP 客户 应 用 程序 和 FTP 进行 连接 。 
连接 成 功 后 ,可 以 进行 各 种 操作 。 在 FTP 中 ,客户 机 只 提出 请 求 和 接收 服务 ,服务 器 只 
接收 请 求 和 执行 服务 。 

在 利用 FTP 进行 文件 传输 之 前 ,用 户 必 须 先 联 入 Internet 中 ,在 用 户 自己 的 计算 机 
上 启动 FTP 用 户 应 用 程序 ,并 且 利 用 FTP 应 用 程序 和 远程 服务 器 建立 连接 ,激活 远程 服 
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务 器 上 的 FTP 服务 器 程序 。 准 备 就 绪 后 ,用 户 首先 向 FTP 服务 器 提出 文件 传输 申请 ， 
FTP 服务 器 找到 用 户 所 申请 的 文件 后 ,利用 TCP/IP 将 文件 的 副本 传送 到 用 户 的 计算 机 
上 ,用 户 的 FTP 程序 再 将 接收 到 的 文件 写 入 自己 的 硬盘 。 文件 传输 完成 后 ,用 户 计算 机 
与 服务 器 计算 机 的 连接 自动 断 开 。 

与 其 他 的 C/S 模 式 不 同 的 是 ,FTP 协议 的 客户 机 与 服务 器 之 间 需 要 建立 双重 连 
接 : 一 个 是 控制 连接 ; 另 一 个 是 数据 连接 。 这 样 , 在 建立 连接 时 就 需要 占用 两 个 通信 


信道 。 


4.4 匿名 FTP 


4.4.1 匿名 FTP 简介 


用 于 对 远程 计算 机 的 连接 ,这 些 计 算 机 是 作为 匿名 或 客户 用 户 进 行 连接 的 ,以 
将 公共 文件 传输 到 用 户 的 本 地 计算 机 。 匿 名 FTP 是 这 样 一 种 机 制 : 用 户 可 通过 它 
连接 到 远程 主机 上 ,并 从 其 下 载 文件 ,而 无 须 成 为 其 注册 用 户 。 系 统管 理 员 建立 了 一 
个 特殊 的 用 户 ID, 名 为 anonymous, Internet 上 的 任何 人 在 任何 地 方 都 可 使 用 该 用 户 
ID。 通 过 FTP 程序 连接 匿名 FTP 主机 的 方式 同 连接 普通 FTP 主机 的 方式 差不多 ,只 
是 在 要 求 提供 用 户 标 识 ID 时 必须 输入 anonymous, 该 用 户 ID 的 口令 可 以 是 任意 的 字 
符 串 。 

值得 注意 的 是 ,匿名 FTP 不 适用 于 所 有 Internet 主机 , 它 只 适用 于 那些 提供 了 这 项 
服务 的 主机 。 当 远程 主机 提供 匿名 FTP 服务 时 ,会 指定 某 些 目录 向 公众 开放 ,人 允许 匿名 
存 取 , 系 统 中 的 其 余 目 录 则 处 于 隐匿 状态 。 作 为 一 种 安全 措施 ,大 多 数 匿 名 FTP 主机 都 
允许 用 户 从 其 下 载 文件 ,而 不 允许 用 户 向 其 上 传 文件 ,也 就 是 说 ,用 户 可 将 匿名 FTP 主 
机 上 的 所 有 文件 全 部 复制 到 自己 的 机 器 上 ,但 不 能 将 自己 机 器 上 的 任何 一 个 文件 复制 至 
匿名 FTP 主机 上 。 即 使 有 些 匿名 FTP 主机 确实 允许 用 户 上 传 文件 ,用 户 也 只 能 将 文件 
上 传 至 某 一 指定 上 传 目 录 中 。 随 后 ,系统 管理 员 会 去 检查 这 些 文件 .他 会 将 这 些 文件 移 
至 另 一 个 公共 下 载 目录 中 , 供 其 他 用 户 下 载 。 利 用 这 种 方式 ,远程 主机 的 用 户 得 到 了 保 
护 ,避免 了 有 人 上 传 有 问题 的 文件 ,如 带 病毒 的 文件 。 


4.4.2 ”匿名 FTP 的 特点 


匿名 FTP 具有 以 下 特点 : 

(1) 匿名 FTP 运用 很 广 , 没 有 什么 指定 的 要 求 。 所 以 ,每 一 个 人 都 可 以 在 匿名 FTP 
主机 上 访问 文件 。 

(2) 在 Internet 上 ,匿名 FTP 是 软件 分 发 的 主要 方式 。 在 Internet 上 保存 所 有 已 提 
供 所 用 标准 协议 的 有 用 程序 。 许 多 程序 通过 匿名 FTP 分 布 ,每 一 个 人 都 可 以 建立 一 个 
Internet 主机 。 


第 4 章 ”应 用 安全 篇 


4.5 缓冲 区 溢出 程序 代码 分 析 


4.5.1 缓冲 区 溢出 简介 


缓冲 区 又 称 为 缓存 ,是 内 存 空间 的 一 部 分 。 也 就 是 说 ,在 内 存 空间 中 预 留 了 一 定 的 
存储 空间 ,这 些 存 储 空间 用 来 缓冲 输入 或 输出 的 数据 ,这 部 分 预 留 的 空间 就 称 为 缓冲 区 。 
缓冲 区 根据 其 对 应 的 是 输入 设备 还 是 输出 设备 ,可 分 为 输入 缓冲 区 和 输出 缓冲 区 。 


4.5.2 缓冲 区 的 作用 


缓冲 区 的 作用 是 为 了 解决 速度 不 匹配 的 问题 ,高 速 的 CPU 与 内 存 , 内 存 与 硬盘 ， 
CPU 与 1/O 等 速度 不 匹配 的 问题 ,而 引入 缓冲 区 ,例如 ,从 磁盘 里 读 取信 息 , 先 把 读 出 的 
数据 放 在 缓冲 区 ,计算 机 再 直接 从 缓冲 区 中 读 取 数据 ,等 缓冲 区 的 数据 读 取 完 后 再 到 磁 
盘 中 读 取 ,这 样 就 可 以 减少 磁盘 的 读 写 次 数 , 再 加 上 计算 机 对 缓冲 区 的 操作 大 大 快 于 对 
磁盘 的 操作 , 故 应 用 缓冲 区 可 大 大 提高 计算 机 的 运行 速度 。 缓 冲 区 就 是 一 块 内 存 区 , 它 
用 在 输入 /输出 设备 和 CPU 之 间 ,用 来 缓存 数据 。 它 使 得 低速 的 输入 /输出 设备 和 高 速 
的 CPU 能 够 协调 工作 ,避免 低速 的 输入 /输出 设备 占用 CPU 。 


4.5.3 缓冲 区 的 类 型 


缓冲 区 分 为 三 种 类 型 : 全 缓冲 、. 行 缓冲 和 不 带 缓冲 。 

(1) 全 缓冲 : 在 这 种 情况 下 , 当 填 满 标准 1/O 缓存 后 才 进 行 实际 1/O 操作 。 全 缓冲 
的 典型 代表 是 对 磁盘 文件 的 读 写 。 

(2) 行 缓冲 : 在 这 种 情况 下 , 当 在 输入 和 输出 中 遇 到 换行 符 时 ,执行 真正 的 1/O 操 
作 。 这 时 ,用 户 输入 的 字符 先 存放 在 缓冲 区 ,等 按 下 Enter 键 换行 时 才 进 行 实际 的 IO 
操作 。 行 缓冲 的 典型 代表 是 键盘 输入 数据 。 

(3) 不 带 缓冲 : 不 带 缓冲 也 就 是 不 进行 缓冲 ,标准 出 错 情况 stderr 是 典型 代表 ,这 使 
得 出 错 信 息 可 以 直接 尽快 地 显示 出 来 。 


4.5.4 缓冲 区 溢出 攻击 


缓冲 区 溢出 攻击 有 多 种 英文 名 称 : bufferoverflow bufferoverrun、 smashthestack、 
trashthestack scribblethestack .manglethestack memoryleak .overrunscrew ,它们 是 指 同 
一 种 攻击 手段 。 第 一 个 缓冲 区 溢出 攻击 是 Morris 蠕虫 ,发生 在 20 年 前 , 它 曾 造成 了 全 世 
界 6000 多 台 网 络 服务 器 瘫痪 。 

缓冲 区 溢出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 位 数 时 超过 了 缓冲 区 本 身 的 容量 洛 
出 的 数据 覆盖 在 合法 数据 上 ,理想 的 情况 是 程序 检查 数据 长 度 并 不 允许 输入 超过 缓冲 区 
长 度 的 字符 ,但 是 绝 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 储存 空间 相 匹配 ,这 
就 为 缓冲 区 溢出 埋 下 隐患 ,操作 系统 所 使 用 的 缓冲 区 又 被 称 为 “堆栈 ”, 在 各 个 操作 进程 
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之 间 , 指 令 会 被 临时 储存 在 “堆栈 ”当中 ,“ 堆 栈 ” 也 会 出 现 缓冲 区 洲 出 。 
注意 : 堆栈 都 是 一 种 数据 项 按 序 排列 的 数据 结构 ,只 能 在 一 端 ( 称 为 栈 顶 (top)) 对 数 
据 项 进行 插入 和 删除 。 


4.5.5 缓冲 区 溢出 的 危害 


在 当前 网 络 与 分 布 式 操作 系统 安全 中 ,被 广泛 利用 的 50% 以 上 都 是 缓冲 区 溢出 ,其 
中 最 著名 的 例子 是 1988 年 利用 fingerd 漏洞 的 蠕虫 。 而 缓冲 区 溢出 中 ,最 为 危险 的 是 堆 
栈 溢 出 ,因为 入侵 者 可 以 利用 堆栈 溢出 ,在 函数 返回 时 改变 返回 程序 的 地 址 ,让 其 跳 转 到 
任意 地 址 , 带 来 的 危害 一 种 是 程序 崩溃 导致 拒绝 服务 ,另外 一 种 就 是 跳 转 并 且 执 行 一 段 
恶意 代码 ,例如 得 到 shell, 然 后 为 所 和 欲 为 。 


4.5.6 缓冲 区 溢出 的 原理 


通过 往 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 
堆栈 ,造成 程序 崩溃 或 使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 
的 原因 是 程序 中 没有 仔细 检查 用 户 输入 的 参数 。 


4.5.7 缓冲 区 溢出 的 攻击 


在 1998 年 Lincoln 实验 室 用 来 评估 入 侵 检测 的 5 种 远程 攻击 中 ,有 2 种 是 缓冲 区 江 
出 。 而 在 1998 年 CERT 的 13 份 建议 中 ,有 9 份 是 与 缓冲 区 溢出 有 关 的 ,在 1999 年 ,至 
少 有 半数 的 建议 是 和 缓冲 区 溢出 有 关 的 。 在 Bugtraq 的 调查 中 ,有 2/3 的 被 调查 者 认为 
缓冲 区 溢出 漏洞 是 一 个 很 严重 的 安全 问题 。 

缓冲 区 溢出 成 为 远程 攻击 的 主要 手段 其 原因 在 于 缓冲 区 溢出 漏洞 给 予 了 攻击 者 想 
要 的 一 切 : 植 人 并且 执 行 攻击 代码 。 被 植 入 的 攻击 代码 以 一 定 的 权限 运行 有 缓冲 区 溢出 
漏洞 的 程序 ,从 而 得 到 被 攻击 主机 的 控制 权 。 

为 了 达到 这 个 目的 .攻击 者 必须 达到 如 下 的 两 个 目标 : 

(1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 。 

(2) 通过 适当 的 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 


4.5.8 在 地 址 空间 里 安排 适当 的 代码 的 方法 


1. 植 入 法 

攻击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 区 里 。 这 个 
字符 串 包含 的 资料 是 可 以 在 这 个 被 攻击 的 硬件 平台 上 运行 的 指令 序列 。 在 这 里 ,攻击 者 
用 被 攻击 程序 的 缓冲 区 来 存放 攻击 代码 。 缓 冲 区 可 以 设 在 任何 地 方 : 堆栈 (stack, 自 动 
变量 ). 堆 Cheap ,动态 分 配 的 内 存 区 ) 和 静态 资料 区 。 

2. 利用 已 经 存在 的 代码 

有 时 ,攻击 者 想 要 的 代码 已 经 在 被 攻击 的 程序 中 了 ,攻击 者 所 要 做 的 只 是 对 代码 传 
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递 一 些 参数 。 例 如 ,攻击 代码 要 求 执行 “exec("/bin/sh”)”, 而 在 libc 库 中 的 代码 执行 
“exec(arg)”, 其 中 arg 是 一 个 指向 一 个 字符 串 的 指针 参数 ,那么 攻击 者 只 要 把 传人 的 参 
数 指针 改 向 指向 */bin/ sh”。 

3. 控制 程序 转移 到 攻击 代码 的 方法 

所 有 的 这 些 方法 都 是 在 寻求 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 最 基本 的 
就 是 溢出 一 个 没有 边界 检查 或 者 其 他 弱点 的 缓冲 区 ,这 样 就 扰乱 了 程序 的 正常 的 执行 顺 
序 。 通 过 溢出 一 个 缓冲 区 ,攻击 者 可 以 用 暴力 的 方法 改写 相 邻 的 程序 空间 而 直接 跳 过 了 
系统 的 检查 。 分 类 的 基准 是 攻击 者 所 寻求 的 缓冲 区 溢出 的 程序 空间 类 型 ,原则 上 是 可 以 
任意 的 空间 ,实际 上 ,许多 的 缓冲 区 溢出 是 用 暴力 的 方法 来 寻求 改变 程序 指针 的 。 这 类 
程序 的 不 同 之 处 就 是 程序 空间 的 突破 和 内 存 空 间 的 定位 不 同 。 

(1) 活动 记录 (Activation Records)。 每 当 一 个 函数 调用 发 生 时 ,调用 者 会 在 堆栈 中 
留 下 一 个 活动 记录 , 它 包含 了 函数 结束 时 返回 的 地 址 。 攻 击 者 通过 溢出 堆栈 中 的 自动 变 
量 , 使 返回 地 址 指向 攻击 代码 。 通 过 改变 程序 的 返回 地 址 , 当 函 数 调用 结束 时 ,程序 就 跳 
转 到 攻击 者 设 定 的 地 址 ,而 不 是 原先 的 地 址 。 这 类 的 缓冲 区 溢出 被 称 为 堆栈 溢出 攻击 
(Stack Smashing Attack) ,是 目前 最 常用 的 缓冲 区 溢出 攻击 方式 。 

(2) 函数 指针 (Function Pointers)。 函 数 指针 可 以 用 来 定位 任何 地 址 空间 。 例 如 ， 
“void( x {00)O 〇 ”声明 了 一 个 返回 值 为 void 的 函数 指针 变量 foo。 所 以 攻击 者 只 需 在 任 
何 空间 内 的 函数 指针 附近 找到 一 个 能 够 溢出 的 缓冲 区 ,然后 溢出 这 个 缓冲 区 来 改变 函数 
指针 。 在 某 一 时 刻 , 当 程序 通过 函数 指针 调用 函数 时 ,程序 的 流程 就 按 攻 击 者 的 意图 实 
现 了 。 它 的 一 个 攻击 范例 就 是 在 Linux 系统 下 的 superprobe 程序 。 

(3) 长 跳 转 缓冲 区 (Longjmp Buffers)。 在 C 语言 中 包含 了 一 个 简单 的 检验 /恢复 系 
统 , 称 为 setjimp/longjmp。 意 思 是 在 检验 点 设 定 “setjimp(Cbuffer)”, 用 “longjmp(Cbuffer)” 
来 恢复 检验 点 。 然 而 ,如 果 攻 击 者 能 够 进入 缓冲 区 的 空间 ,那么 "longjmp(buffer) ”实际 
上 是 跳 转 到 攻击 者 的 代码 。 像 函数 指针 一 样 ,longjmp 缓冲 区 能 够 指向 任何 地 方 , 所 以 攻 
击 者 所 要 做 的 就 是 找到 一 个 可 供 溢出 的 缓冲 区 。 一 个 典型 的 例子 就 是 Perl5, 003 的 缓冲 
区 溢出 漏洞 ; 攻击 者 首先 进入 用 来 恢复 缓冲 区 溢出 的 longjmp 缓冲 区 ,然后 诱导 进入 恢 
复 模式 ,这 样 就 使 Perl 的 解释 器 跳 转 到 攻击 代码 上 了 。 


4.5.9 代码 植 入 和 流程 控制 技术 的 综合 分 析 


最 简单 和 常见 的 缓冲 区 溢出 攻击 类 型 就 是 在 一 个 字符 串 里 综合 了 代码 植 和 人 和 活动 
记录 技术 。 攻 击 者 定位 一 个 可 供 溢出 的 自动 变量 ,然后 向 程序 传递 一 个 很 大 的 字符 串 ， 
在 引发 缓冲 区 溢出 ,改变 活动 记录 的 同时 植 人 了 代码 。 这 是 由 Levy 指出 的 攻击 的 模板 。 
因为 C 语言 在 习惯 上 只 为 用 户 和 参数 开辟 很 小 的 缓冲 区 ,因此 这 种 漏洞 攻击 的 实例 十 分 
常见 。 

代码 植 人 和 缓冲 区 溢出 不 一 定 要 在 一 次 动作 内 完成 。 攻 击 者 可 以 在 一 个 缓冲 区 内 
放置 代码 ,这 是 不 能 溢出 的 缓冲 区 。 然 后 ,攻击 者 通过 溢出 另外 一 个 缓冲 区 来 转移 程序 
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的 指针 。 这 种 方法 一 般 用 来 解决 可 供 溢出 的 缓冲 区 不 够 大 (不 能 放下 全 部 的 代码 ) 的 情 
况 。 如 果 攻 击 者 试图 使 用 已 经 常 驻 的 代码 而 不 是 从 外 部 植 和 人 代码 ,他 们 通常 必须 把 代码 
作为 参数 调用 。 举 例 来 说 ,在 libe( 几 乎 所 有 的 C 程序 都 要 它 来 连接 ) 中 的 部 分 代码 段 会 
执行 “exec(something)”, 其 中 somthing 就 是 参数 。 攻 击 者 使 用 缓冲 区 溢出 改变 程序 的 
参数 ,然后 利用 另 一 个 缓冲 区 溢出 使 程序 指针 指向 libc 中 的 特定 的 代码 段 。 


4.5.10 缓冲 区 溢出 攻击 的 防范 方法 


缓冲 区 溢出 攻击 占 了 远程 网 络 攻击 的 绝 大 多 数 , 这 种 攻击 可 以 使 得 一 个 匿名 的 
Internet 用 户 有 机 会 获得 一 台 主机 的 部 分 或 全 部 的 控制 权 。 如 果 能 有 效 地 消除 缓冲 区 涪 
出 的 漏洞 , 则 很 大 一 部 分 的 安全 威胁 可 以 得 到 缓解 。 

(1) 通过 操作 系统 使 得 缓冲 区 不 可 执行 ,从 而 阻止 攻击 者 植 入 攻击 代码 。 通 过 使 被 
攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 者 不 可 能 执行 被 植 入 被 攻击 程序 输 
和 人 缓冲 区 的 代码 ,这 种 技术 被 称 为 非 执行 的 缓冲 区 技术 。 在 早期 的 UNIX 系统 设计 中 ， 
只 允许 程序 代码 在 代码 段 中 执行 。 但 是 近来 的 UNIX 和 MSWindows 系统 由 于 要 实现 
更 好 的 性 能 和 功能 ,往往 在 数据 段 中 动态 地 放 入 可 执行 的 代码 ,这 也 是 缓冲 区 游 出 的 根 
源 。 为 了 保持 程序 的 兼容 性 ,不 可 能 使 得 所 有 程序 的 数据 段 不 可 执行 。 但 是 可 以 设 定 堆 
栈 数 据 段 不 可 执行 ,这 样 就 可 以 保证 程序 的 兼容 性 。Linux 和 Solaris 都 发 布 了 有 关 这 方 
面 的 内 核 补丁 。 

(2) 利用 编译 器 的 边界 检查 来 实现 缓冲 区 的 保护 。 编 写 正确 的 代码 是 一 件 非常 有 意 
义 的 工作 ,特别 像 编 写 C 语言 那 种 风格 自由 而 容易 出 错 的 程序 ,这 种 风格 是 由 于 追求 性 
能 而 忽视 正确 性 的 传统 引起 的 。 尽 管 花 了 很 长 的 时 间 使 得 人 们 知道 了 如 何 编写 安全 的 
程序 ,具有 安全 漏洞 的 程序 依旧 出 现 。 因 此 ,人 们 开发 了 一 些 工 具 和 技术 来 帮助 经 验 不 
足 的 程序 员 编写 安全 正确 的 程序 。 最 简单 的 方法 就 是 用 grep 来 搜索 源 代 码 中 容易 产生 
漏洞 的 库 的 调用 ,如 对 strcpy 和 sprintf 的 调用 ,这 两 个 函数 都 没有 检查 输入 参数 的 长 
度 。 事实 上 ,各 个 版 本 C 的 标准 库 均 有 这 样 的 问题 存在 。 此 外 ,人 们 还 开发 了 一 些 高 级 
的 查 错 工具 ,如 faultinjection 等 。 这 些 工 具 的 目的 在 于 通过 人 为 随机 地 产生 一 些 缓冲 区 
溢出 来 寻找 代码 的 安全 漏洞 。 还 有 一 些 静 态 分 析 工 具 用 于 侦 测 缓冲 区 溢出 的 存在 。 虽 
然 这 些 工具 帮助 程序 员 开发 更 安全 的 程序 ,但 是 由 于 C 语言 的 特点 ,这 些 工具 不 可 能 找 
出 所 有 的 缓冲 区 溢出 漏洞 。 所 以 , 侦 错 技术 只 能 用 来 减少 缓冲 区 溢出 的 可 能 ,并 不 能 完 
全 地 消除 它 的 存在 。 


实验 7 在 Serv-U 中 配置 安全 的 FTP 服务 


一 、 实 验 目的 
学 会 常用 的 FTP 工具 Serv-U 程序 中 配置 安全 的 FTP 服务 ,从 而 体验 了 解 安全 的 
FTP 的 要 求 。 
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二 、 实 验 原理 

利用 Serv-U 软件 搭建 FTP 服务 器 ,对 端口 配置 .用 户 控 制 . 用 户 组 设置 .权限 设置 、 
目录 设置 等 功能 进行 配置 ,尤其 通过 SSL 加 密 设 置 . 分 析 安 全 的 FTP 设置 和 不 安全 的 
FTP 设置 ,通过 FTP 工具 FlashFXP 或 其 他 ,对 服务 器 的 信息 进行 获取 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) 硬件 设备 : 小 组 PC 一 台 , 用 于 访问 Windows Server 2003 服务 器 ; Windows 
Server 2003 服务 器 ,用 于 搭建 FTP 服务 器 。 

(2) 实验 工具 : Serv-U 软件 (绿色 版 ,在 服务 器 上 安装 成 功 , 登 录 服 务 器 可 以 运行 ); 
FlashFXP, 从 平台 上 下 载 , 单 击 flashfxp. exe 运行 就 可 以 ; Wireshark ,在 客户 端 上 已 经 安 
装 好 。 

实验 拓扑 图 和 实验 设备 配置 信息 分 别 如 图 4.1 和 表 4.1 所 示 。 


Si 
接 入 交换 机 A 用 
C3550 机 架 服务 器 
虚拟 系统 
终端 PC 
图 4.1 实验 拓扑 图 


表 4.1 实验 设备 配置 参考 信息 表 


IP 地 址 


. 168. 1. 188 
92. 168. 1. 251 


示例 实验 终端 PC 
示例 实验 Windows Server 2003 服务 器 


2. 实验 步骤 

1) 基本 设置 

(1) 在 终端 PC 上 ,远程 登录 Windows Server 2003 服务 器 。 执 行 开始 一 运行 命令 ， 
在 打开 的 “运行 "对话 框 中 输入 “mstsc” 命 令 , 在 打开 “远程 桌面 连接 ”窗口 中 ,输入 IP 地址 
“192. 168. 1. 251”, 密 码 为 “gengshang”。 然 后 双击 桌面 的 servuadmin. exe, 运 行 Serv-U 
软件 ,如 图 4. 2 所 示 。 

(2) 右 击 “ 域 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 域 " 选 项 ,打开 “添加 新 建 域 ” 对 话 框 ， 
输入 IP 地 址 “192. 168.1.251”, 如 图 4. 3 所 示 , 单 击 * 下 一 步 "按钮 。 
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vwV 管理 员 - 《<< 


图 4.2 启动 Serv-U 软件 


添加 新 建 域 


图 4.3 新 建 域 


(3) 为 新 建 域 命名 ,输入 域名 ,如 图 4.4 所 示 , 单 击 “ 下 一 步 "按钮 。 


添加 新 建 域 


4.4 为 新 建 域 命名 


(4) 设 定 FTP 的 端口 ,默认 端口 号 为 21 ,如 图 4. 5 所 示 , 单 击 “ 下 一 步 "按钮 。 
(5) 设置 “ 域 类 型 "为 存储 于 . ini 文件 ,如 图 4. 6 所 示 , 然 后 单 击 * 完 成 "按钮 , 域 "aaa” 
就 建 好 了 。 


全 篇 


图 4.5 设 定 FTP 端口 
| 


和 对 于 小 的 域 .TII 文件 是 首选 的 ， 对 于 大 的 域 0500 用户) 注册 表 提供 更 


| xn 


图 4.6 设置 域 类 型 


(6) 右 击 “用 户 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 用 户 ” 选 项 ,打开 “添加 新 建 用 户 ” 对 
话 框 ,在 用户 名 称 ” 输 入 aaa, 单 击 “ 下 一 步 ” 按 钮 ,如 图 4.7 所 示 。 


注 加 新 建 用 户 - 第 一 步 | 


请 输入 新 建 用 户 的 帐号 名 称 。 访 名称 应 该 是 唯一 的 ， 并 且 还 未 被 任 何其 地域 帐 号 所 使 用 。 


用 户 名 称 


CT | 
_xmo | [S75] 


图 4.7 为 新 用 户 命名 


(7) 为 该 用 户 设置 密码 “123”, 单 击 “ 下 一 步 ? 按 钮 ,如 图 4. 8 所 示 。 

(8) 为 该 用 户 设置 主 目录 ”"C:\”, 单 击 " 下 一 步 " 按 钮 ,如 图 4.9 所 示 。 

(9) 将 用 户 锁定 于 主 目 录 ( 用 户 登 录 Serv-U FTP 后 ,只 能 操作 该 目录 的 文件 ), 如 
图 4.10 所 示 。 


7 起 


4.9 为 新 用 户 设 定 主 目录 


添加 新 建 用 上 第 四 步 


图 4.10 锁定 新 用 户 的 主 目录 


(10) 给 用 户 分 配 文件 .目录 和 子 目 录 的 读 、 写 、 执 行 等 权限 。 单 击 “ 目 录 访 问 ” 按 钮 ， 
在 右 侧 复 选 框 中 设 定 读 、 写 、 列 表 、 创 建 、 移 除 等 权限 (注意 : aaa 要 赋予 全 部 权限 ), 然 后 
单 击 “ 应 用 ”按钮 ,如 图 4. 11 所 示 。 这 样 用 户 “aaa" 就 有 了 对 目录 、 文 件 等 相应 的 操作 
权限 。 

(11) 同样 的 办 法 ,创建 用 户 名 “bbb”, 密 码 *123”, 但 是 给 他 分 配 权限 只 有 读 取 、 列 表 
和 继承 的 权限 , 即 选中 读 取 、 列 表 ,继承 复 选 框 。 


一 


可 EL 了 TS 


图 4.11 给 用 户 分 配 权限 


(12) 在 客户 端 PC 上 ,打开 浏览 器 ,输入 FTP://192. 168.1. 251, 登 录 FTP 服务 器 ， 
打开 FTP 登录 界面 ,如 图 4. 12 所 示 。 


图 4.12 FTP 登录 界面 


以 用 户 名 “aaa” 和 密码 “123” 登 录 , 登 录 成 功 后 ,创建 一 个 “aaa” 文 件 夹 (能 成 功 否 ?)， 
如 果 能 成 功 , 在 “aaa” 文 件 夹 再 新 建 一 个 名 为 aaa. txt 的 文件 (能 成 功 否 ?) ,能 否 将 "aaa” 文 
件 夹 删 除 ? 为 什么 ? 

(13) 退出 aaa 登录 ,再 以 用 户 名 “bbb” 和 密码 “123” 登 录 ,登录 成 功 后 ,创建 一 个 
“bbb” 文 件 夹 ( 能 成 功 否 ?) ,为 什么 ? 

2) 用 SSL 加 密 增强 FTP 服务 器 安全 性 

PC 终端 开启 Wireshark 软件 ,进行 抓 包 (参考 实验 分 析 对 比 加 密 包 ) 。 

在 以 上 FTP 服务 器 的 配置 中 ,是 以 明文 方式 传输 数据 的 ,安全 性 极 差 ,信息 很 容易 
被 盗 , 为 了 保证 特殊 环境 下 的 数据 安全 ,有 必要 启用 SSL 功能 。 

不 安全 分 析 : 设 FTP 服务 器 中 有 一 个 用 户 名 “user” 和 密码 “11111”。 当 用 户 在 客户 
端 PC 上 URL 地 址 中 输入 FTP://192. 168. 1. 251, 使 用 用 户 名 “user” 和 密码 “111111”， 
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访问 FTP 服务 器 192. 168. 1. 251 时 ,使 用 Wireshark 软件 进行 抓 包 , 抓 包 结果 如 图 4. 13 
所 示 。 


m Frame 1362 (103 bytes on wire, 103 bytes captured) 
田 Ethernet II, Src: AsustekC_77:0a:dd (00:1f:c6:77:0a:dd), Dst: 50:78:8f:80:27:4b (50 
田 Internet Protoco]l, src: 192.168.100.5 (192.168.100.5), Dst: 192.168.100.2 (192.168.; 


Source port: ftp (21) 
Destination port: onehgae-help (2199) 
Seeelan numnber - (relative sequence number) 
[Next sequence number: 50 (relative sequence number)] 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 

田 Flags: 0x18 (PSH, ACK) 

Window size: 32768 


图 
田 File Transfer Protocol (FTP) 


图 4.13 使 用 Wireshark 软件 进行 抓 包 


对 抓 包 结果 分 析 后 (图 4. 14) ,用 户 在 登录 服务 器 的 过 程 中 ,用 户 名 和 密码 都 被 截获 ， 
这 样 ,FTP 服务 器 就 不 安全 了 。 


Follow TCP Stream 


图 4.14 抓 包 分 析 结果 


(1) 生成 SSL 证 书 。 要 想 使 用 Serv-U 的 SSL 功能 ,当然 需要 SSL 证 书 的 支持 才 
行 。 虽 然 Serv-U 在 安装 之 时 就 已 经 自动 生成 了 一 个 SSL 证 书 , 但 这 个 默认 生成 的 SSL 
证 书 在 所 有 的 Serv-U 服务 器 中 都 是 一 样 的 ,非常 不 安全 ,所 以 需要 手工 创建 一 个 新 的 
SSL 证 书 。 

在 "Serv-U 管理 员 ” 窗 口中 ,展开 “本 地 服务 器 ”>“ 设 置 ”选项 ,然后 切换 到 “SSL 证 
书 ” 选 项 卡 (图 4.15) ,在 这 里 创建 一 个 新 的 SSL 证 书 。 首 先 在 “普通 名 称 ” 栏 中 输入 一 个 
名 称 ( 可 以 输入 FTP 服务 器 的 IP 地址 ) .接着 其 他 栏目 的 内 容 , 如 电子 邮件 、 组 织 和 单位 
等 ,根据 用 户 的 情况 进行 填写 .完成 “SSL 证 书 ” 选 项 卡 中 所 有 内 容 的 填写 后 , 单 击 下 方 的 
“应 用 ”按钮 即 可 ,这 时 Serv-U 就 会 生成 一 个 新 的 SSL 证 书 。 
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普通 名 称 [192. 163. 100.5 
电子 邮件 smejixis5458163 com 


组 织 RhinoSot com 
单位 Fosevere 


图 4.15 


bel 应 用 G) 
创建 一 个 新 的 SSL 证 书 


(2) 启用 SSL 功能 。 虽 然 为 Serv-U 服务 器 创建 了 新 的 SSL 证 书 , 但 默认 情况 下 ,Serv-U 
是 没有 启用 SSL 功能 的 ,要 想 利用 该 SSL 证 书 , 首 先 要 启用 Serv-U 的 SSL 功能 才 行 。 

如 启用 Serv-U 服务 器 中 域名 为 “welcome” 的 SSL 功能 。 在 "Serv-U 管理 员 ” 窗 口 
中 ,依次 展开 * 本 地 服务 器 ”~* 域 "~>”“welcome” 选 项 ,然后 在 右 侧 的 “ 域 " 管 理 框 中 找到 
“安全 性 ”下 拉 列 表 框 中 的 选项 。 这 里 Serv-U 提供 了 3 种 选项 ,分 别 是 “仅仅 规则 FTP， 
无 SSL/TLS 进程 ”“ 人 允许 SSL/TLS 和 规则 进程 “只 允许 SSL/TLS 会 话 ”, 默 认 情 况 
下 ,Serv-U 使 用 的 是 “仅仅 规则 FTP, 无 SSL/TLS 进程 ”, 因 此 是 没有 启用 SSL 加 密 功能 
的 。 在 这 里 “安全 性 ”下 拉 选 项 框 中 选择 只 允许 SSL/TLS 会 话 ” 选 项 ,然后 单 击 “ 应 用 ” 
按钮 , 即 可 启用 welcom 域 的 SSL 功能 ,如 图 4. 16 所 示 。 


次 


日- 则 Ser 一 v 服务 器 
日 局 < 本 地 服务 器 >> 
名 许可 


Er 


名 称 eleon 
域 IP 地 址 [192. 168.100.5 
城关 型 | 存储 于 .TIC 文件 已 


安 至 性 | 只 允许 SSL/TLS 会 话 


厂 启用 动态 DIS 


合 域 正在 柳 


B 将 域 置 于 高 线 0) 


轩 应 用 凶 ) 


恢复 @ 


<< 本 地 服务 器 >> [系统 管理 | 下载: 0.000 KB/ 秒 /上传 : 0.000 KB/ 秒 


图 4.16 启用 SSL 功能 


| 15132767 个 Socket | 


1(0)15 个 用 户 | 0 个 传输 
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注意 : 启用 了 SSL 功能 后 ,Serv-U 服务 器 使 用 的 默认 端口 号 就 不 再 是 “21” 了 ,而 是 
“990” 了 。 这 点 FTP 用 户 一 定 要 留意 ,和 否则 就 会 无 法 成 功 连接 Serv-U 服务 器 。 

(3) SSL 应 用 。 启 用 Serv-U 服务 器 的 SSL 功能 后 ,就 可 以 利用 此 功能 安全 传输 数 
据 了 ,但 FTP 客户 端 程序 必须 支持 SSL 功能 才 行 。 

支持 SSL 的 FTP 客户 端 程序 现在 也 比较 多 ,以 “FlashFXP” 程 序 为 例 ,介绍 如 何 成 
功 连接 到 启用 了 SSL 功能 的 Serv-U 服务 器 。 在 客户 端 运行 “FlashFXP "程序 后 ,选择 
“会 话 ” 一 “快速 连接 ”选项 ,弹出 “快速 连接 "对话 框 ,在 “服务 器 或 URL” 栏 中 输入 Serv-U 
服务 器 的 IP 地 址 (之 前 做 了 配置 ) ,在 “端口 " 栏 中 一 定 要 输入 “990”, 这 是 因为 Serv-U 服 
务 器 启用 SSL 功能 后 ,端口 号 就 从 *21? 变 为 “990”; 接着 在 "用 户 名 ”和 “密码 ” 栏 中 输入 
用 户 的 登录 账号 和 密码 。 

(4) 切换 到 “SSL” 选 项 卡 ,选中 “绝对 SSL 单 选 按钮 ,这 一 步骤 是 非常 关键 的 ,如 果 
不 选中 “绝对 SSL” 单 选 按 钮 ,就 无 法 成 功 连接 到 Serv-U 服务 器 。 最 后 单 击 “ 连 接 ” 按 钮 ， 
如 图 4.17 所 示 。 


快速 连接 


安全 Socket 屋 
© 


国 安全 文件 传送 (上传 /下 载 ) 
国 安全 站 点 对 传 不 支持 所 有 服务 器 ) 
国 数据 连接 后 关闭 指纹 检查 


图 4.17 启用 绝对 SSL 功能 


(5) 当 用 户 第 一 次 连接 到 Serv-U 服务 器 时 ,FlashFXP 会 弹出 一 个 “证 书 ” 对 话 框 ,这 
时 用 户 只 要 单 击 “ 接 受 并 保存 ”按钮 ,将 SSL 证 书 下 载 到 本 地 后 ,就 能 成 功 连接 到 Serv-U 
服务 器 ,以 后 和 Serv-U 服务 器 间 的 数据 传送 就 会 受到 SSL 功能 的 保护 ,不 再 是 以 明文 形 
式 传送 ,这 样 就 不 用 再 担心 FTP 账号 被 盗 , 敏 感 信 息 被 窃取 的 问题 了 。 

在 启用 了 SSL 后 ,使 用 Wireshark 仍 可 截获 的 FTP 包 ,但 此 时 用 户 登 录 的 信息 等 已 
经 被 加 密 了 。 截 获 的 包 是 一 堆 乱 码 , 如 图 4. 18 所 示 。 

3. 思考 题 

(1) 考虑 FTP 的 默认 端口 : 21、20 各 有 什么 作用 ,请 测试 检验 ,形成 实验 报告 。 

(2) 如 何在 IIS 中 配置 安全 的 FTP 服务 ,形成 实验 报告 。 


.0.. 工 .0...U 
Helenvillel.0.. 


I0212231340422Z. 
Helenvillel.0...u. 


Rhinosort, coml. 0...U....Us1!0. 
os support@serv-y. coml.0...U....Ssoftware0.. 


(1212201340422Z0. .1.0. 


Rhinosoit, coml. 0...U....Us1! 
upporteserv-u coml. 0. 


frp. sarv-U.coml.0...U... 
WD 


wiHis 


siU... ftp.Serv-U.coml.0...U... 
WI1.0...U. 


Hie 
. ,Software0..0 


大 Na 


$V GEK"fR, fn. 一 <- 


XsDQs assToa 2 YR id] so 


9。 
EWL4. . ..H8.4],. [.-3...L.Xxg#...NU.. 
aSs eos ND. Yo 


VN. PTI 2. N\, 


‘Lt 和 


G.. 


End [saveas Brint | Entire conversation (3470 bytes) 圆 @ sscr @ Eeco1c @ Hex Dump @ carays © haw 


到 


Gese Fiker Out This Seam 


图 4.18 启用 SSL 功能 Wireshark 截获 的 FTP 包 


数据 库 篇 加 


5.1 引言 


随 着 全 球 信息 化 进程 加 速 , 计 算 机 网 络 的 规模 飞速 扩大 ,作为 信息 载体 的 数据 库 已 
经 深入 到 社会 的 政治 经济. 文 化 .军事 和 社会 生活 等 各 个 方面 ,其 安全 已 成 为 世界 各 国 
共同 关注 的 焦点 。 传 统 的 数据 库 安 全 技术 已 经 不 能 满足 现实 的 要 求 ,数据 库 账 户 管理 和 
安全 审计 技术 开始 广泛 受到 人 们 的 重视 。 

数据 库 (Database) 是 一 个 单位 或 是 一 个 应 用 领域 的 通用 数据 存储 处 理 系统 , 它 存储 
的 是 属于 企业 、 事 业 、 部 门 、 团 体 和 个 人 的 有 关 数 据 的 集合 。 它 产生 于 距 今 50 年 前 , 随 着 
信息 技术 和 市 场 的 发 展 ,特别 是 20 世纪 90 年 代 以 后 ,数据 管理 不 再 仅仅 是 存储 和 管理 
数据 ,而 转变 成 用 户 所 需要 的 各 种 数据 管理 的 方式 。 数 据 库 有 很 多 种 类 型 ,从 最 简单 的 
存储 有 各 种 数据 的 表格 到 能 够 进行 海量 数据 存储 的 大 型 数据 库 系统 。 数 据 库 在 各 个 方 
面 都 得 到 了 广泛 的 应 用 。 

数据 库 中 的 数据 是 为 众多 用 户 共享 其 信息 而 建立 的 ,已 经 摆脱 了 具体 程序 的 限制 和 
制约 。 不 同 的 用 户 可 以 按 各 自 的 用 法 使 用 数据 库 中 的 数据 ; 多 个 用 户 可 以 同时 共享 数据 
库 中 的 数据 资源 , 即 不 同 的 用 户 可 以 同时 存 取 数据 库 中 的 同一 个 数据 。 数 据 共享 性 不 仅 
满足 了 各 用 户 对 信息 内 容 的 要 求 , 同 时 也 满足 了 各 用 户 之 间 信息 通信 的 要 求 。 


5.2 SQL Server 概述 
数据 库 必 须 具有 坚固 的 安全 系统 ,才能 控制 可 以 执行 的 活动 以 及 可 以 查看 和 修改 的 


信息 。 无 论 用 户 如 何 获 得 对 数据 库 的 访问 权限 ,坚固 的 安全 系统 都 可 以 确保 对 数据 进行 
保护 。 安 全 系统 的 构架 建立 在 用 户 组 的 基础 上 。 
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5.2.1 SQL Server 的 安全 设置 


在 SQL Server 中 ,用 户 要 经 过 两 个 安全 性 阶段 : 身份 验证 和 授权 。 身 份 验 证 能 决定 用 户 
能 否 连接 到 服务 器 ,授权 阶段 验证 已 登录 服务 器 的 用 户 能 否 连 接 SQL Server 实例 的 权限 。 


5.2.2 SQL Server 的 身份 验证 模式 


SQL Server 服务 器 身份 验证 有 两 种 模式 : Windows 认证 模式 和 Windows 与 SQL 
Server 混合 认证 模式 。Windows 认证 更 为 安全 ,因为 Windows 操作 系统 具有 较 高 的 安 
全 性 (C2 级 安全 标准 )。SQL Server 认证 管理 较为 简单 , 当 SQL Server 在 Windows NT 
或 Windows 2000 上 运行 时 ,系统 管理 员 必 须 制定 系统 使 用 的 认证 模式 。 当 采用 混合 认 
证 模式 时 ,SQL Server 既 允 许 使 用 Windows 认证 模式 又 允许 使 用 SQL Server 认证 模 
式 。 在 完成 SQL Server 安装 以 后 ,SQL Server 就 建立 了 一 个 特殊 账户 sa。 账 户 sa 拥有 
最 高 的 管理 权限 ,可 以 执行 服务 器 范围 内 的 所 有 操作 , 既 不 能 更 改 sa 用 户 名 称 , 也 不 能 删 
除 sa, 但 可 以 更 改 其 密码 。 在 刚刚 完成 SQL Server 的 安装 时 ,sa 账户 没有 任何 密码 ,所 
以 要 尽快 为 其 设置 密码 。 


5.2.3 授权 阶段 


只 有 授权 的 用 户 才能 访问 被 保护 了 的 数据 ,保密 性 是 防止 非 授 权 访问 ,这 是 信息 安 
全 最 重要 的 要 求 。 用 户 在 实现 安全 登录 之 后 .检验 用 户 的 下 一 个 安全 等 级 是 数据 库 访问 
权限 。 在 身份 验证 阶段 利用 登录 账号 连接 到 服务 器 后 ,只 表明 该 账户 通过 了 Windows 
NT 认证 或 SQL Server 认证 ,并 不 代表 用 户 就 能 访问 数据 库 , 而 登录 者 要 操作 数据 库 中 
的 数据 时 ,必须 要 有 用 户 账号 才能 够 存 取 数据 库 。 就 如 同 在 自助 银行 门口 刷卡 进门 ( 登 
录 服 务 器 ) ,然后 再 赁 银行 卡 和 密码 支取 现金 (进入 数据 库 ) 一 样 。 数 据 库 用 户 是 指 在 数 
据 库 内 唯一 标识 用 户 身份 的 ID。SQL Server 通过 授权 和 角色 管理 来 给 用 户 指 定 可 以 访 
问 的 数据 库 对 象 的 权限 。 如 果 一 组 用 户 具 有 相同 的 权限 .那么 可 以 先 创建 一 个 角色 ,对 
这 个 角色 赋予 权限 ,然后 将 这 些 用 户 添加 到 该 角色 中 使 它们 成 为 这 个 角色 的 成 员 。 这 样 
就 可 以 对 这 些 相同 权限 的 用 户 进行 统一 的 管理 ,在 用 户 较 多 的 情况 下 可 减轻 管理 负担 。 
在 SQL Server 中 ,系统 的 每 个 数据 库 都 定义 了 许多 不 同 的 固定 角色 ,但 这 些 角 色 的 范围 
只 限于 它 所 在 的 数据 库 。 每 个 用 户 可 以 属于 多 个 不 同 的 角色 ,从 而 拥有 不 同 的 权限 。 


5.3 数据 库 审计 


作为 信息 安全 审计 的 重要 组 成 部 分 .同时 也 是 数据 库 管 理 系统 安全 性 重要 的 部 分 。 
通过 审计 功能 ,凡是 与 数据 库 安全 性 相关 的 操作 均 可 被 记录 下 来 。 只 要 检测 审计 记录 ， 
系统 安全 员 便 可 掌握 数据 库 被 使 用 状况 。 例 如 ,检查 库 中 实体 的 存 取 模 式 , 监 测 指定 
户 的 行为 。 审 计 系 统 可 以 跟踪 用 户 的 全 部 操作 ,这 也 使 审计 系统 具有 一 种 威慑 力 ,提醒 


si 
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用 户 安全 使 用 数据 库 。 现 有 的 数据 库 管理 系统 的 审计 保护 功能 存在 不 足 , 应 从 以 下 两 方 
面 改 进 : 一 是 建立 单独 的 审计 系统 和 审计 员 ,审计 数据 需 要 存放 在 单独 的 审计 文件 中 。 
可 以 把 用 户 大 致 分 为 审计 员 ,数据 库 用 户 、 系 统 安全 员 3 类 ,这 三 者 相互 牵制 各 司 其 职 ， 
分 别 在 3 个 地 方 进行 审计 控制 。 二 是 为 了 保证 数据 库 系统 的 安全 审计 功能 ,还 需要 考虑 
到 系统 能 够 对 安全 侵害 事件 做 出 自动 响应 ,提供 审计 自动 报警 功能 。 当 系统 检测 到 有 危 
害 到 系统 安全 的 事件 发 生 并 达到 预定 的 阔 值 时 ,要 给 出 报警 信息 ,同时 还 应 自动 断 开 
户 的 连接 ,终止 服务 器 端的 相应 线程 ,并 阻止 该 用 户 再 次 登录 系统 。 


5.4 触发 器 


触发 器 是 一 种 特殊 的 存储 过 程 ,类 似 于 其 他 编程 语言 中 的 事件 函数 ,SQL Server 允许 
为 INSERT、UPDATE .DELETE 创建 触发 器 , 当 在 表 ( 视 图 ) 中 搬入 ,更 新 ,删除 记录 时 ,触发 
一 个 或 一 系列 T-SQL 语句 。SQL Server 的 触发 器 按 触发 方式 可 分 为 DML 触发 器 和 DDL 
触发 器 两 大 类 。DML 触发 器 的 特点 是 当 数 据 库 中 发 生 DML( 数 据 操作 语言 ) 事 件 时 被 甬 
发 。 数 据 操作 语言 事件 包括 在 指定 表 或 视图 中 插入 、 更 新 、 删 除 记 录 。DML 触发 器 被 广泛 
应 用 于 数据 被 修改 时 强制 执行 业务 规则 ,以 及 数据 完整 性 检查 。DDL 触发 器 是 SQL Server 
2005 的 新 增 功能 , 当 服 务 器 或 数据 库 中 发 生 DDL( 数 据 定义 语言 ) 事 件 时 将 调用 该 触发 器 。 
SQL Server 的 触发 器 按 触 发 时 机 可 分 为 AFTER 触发 器 和 INSTEADOF 触发 器 两 种 类 型 。 
AFTER 触发 器 是 指 相应 的 操作 被 执行 完毕 后 触发 。INSTEADOF 触发 器 是 指 在 相应 的 
操作 被 执行 前 触发 并 替代 该 操作 。SQL Server 的 触发 器 按 触发 类 型 可 分 为 INSERT 触 
发 器 .DELETE 触发 器 和 UPDATE 触发 器 三 类 。 当 INSERT 触发 器 被 触发 时 ,系统 会 
建立 一 个 名 为 inserted 的 逻辑 表 ,被 插入 的 数据 行 会 被 复制 到 inserted 中 。 当 DELETE 
触发 器 被 触发 时 ,系统 会 建立 一 个 名 为 deleted 的 逻辑 表 , 被 删除 的 数据 行 会 被 复制 到 
deleted 中 。 当 UPDATE 触发 器 被 触发 时 ,系统 会 分 别 建立 名 为 deleted ,inserted 的 逻辑 
表 , 更 新 前 的 数据 行 会 被 复制 到 deleted 中 ,更 新 后 的 数据 行将 被 复制 到 inserted 中 。 因 
此 ,UPDATE 触发 器 可 以 理解 为 先 DELETE 了 旧 的 数据 行 ,再 INSERT 新 的 数据 行 。 

在 编写 触发 器 过 程 中 ,可 以 使 用 UPDATE(column) 来 判断 在 指定 的 列 上 是 否 进行 
了 INSERT 或 UPDATE 操作 。 也 可 以 使 用 COLUMNS_UPDATED() 来 判断 是 否 插入 
或 更 新 了 提 及 的 列 。 这 两 种 方法 都 是 仅 能 用 于 INSERT 或 UPDATE 触发 器 中 ,不 能 在 
DELETE 触发 器 中 使 用 。 


实验 8 ”数据库 账户 管理 实验 


一 、 实 验 目的 
通过 本 实验 ,充分 了 解 账户 控制 对 于 整个 应 用 安全 的 重要 性 。 尤 其 是 在 分 配 账户 时 
需要 注意 的 各 个 方面 ,以 确保 将 来 使 用 系统 过 程 中 的 基础 安全 特性 。 
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二 、 实 验 原理 

SQL Server 的 服务 器 级 安全 性 建立 在 控制 服务 器 登录 账户 和 密码 的 基础 上 。SQL 
Server 采用 了 标准 的 SQL Server 登录 和 Windows 登录 两 种 方式 。 无 论 使 用 哪 种 方式 登 
录 , 用 户 在 登录 时 提供 的 登录 账户 和 密码 都 决定 了 该 用 户 能 否 获 得 SQL Server 的 访问 
权 , 以 及 在 获得 访问 权 以 后 用 户 的 访问 资源 及 可 用 的 权利 和 内 容 对 象 。 管 理 和 设计 合理 
的 登录 账户 是 SQL Server 系统 管理 员 的 重要 任务 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) 硬件 设备 : 小 组 PC(Windows Server 2003 系统 ) 一 台 。 

(2) 软件 工具 : SQL Server 2005。 

2. 实验 步骤 

1) 设 定 sa 的 密码 

(1) 获取 本 机 的 主机 名 : 执行 “开始 ?一 “运行 ”命令 ,在 打开 的 “运行 ?对 话 框 中 输 
入 “cmd”, 在 命令 行 窗 口中 输入 “hostname” 命 令 , 记 录 系 统 显示 (后 面 登 录 时 要 用 主 
机 名 ) 。 

(2) 启动 SQL Server Management Studio: 执行 “开始 ”一 “所 有 程序 ”>Microsoft 
SQL Server 2005 一 SQL Server Management Studio 命令 。 

(3) 连接 服务 器 : 当 出 现 * 连 接 到 服务 器 "窗口 后 ,服务 器 类 型 选择 “数据 库 引擎 ”, 服 
务 器 名 称 选择 自己 的 主机 名 (在 步骤 (1) 中 获得 )。 身 份 验证 选择 “Windows 身份 验证 ”， 
然后 单 击 “ 连 接 ” 按 钮 ,成 功 后 ,将 打开 数据 库 服 务 器 管理 窗口 ,如 图 5.1 所 示 。 


Ricrosoft SQL Server Nanagement Studio 


文件 人 编辑 下 ) 视图 WW 工具 CD) 窗口 轨 社区 (C) 必 助 只 
;已 亲 寻 查询 | 站 也 二 吕 | 也 | 区 昌 印 | 下 国际 防守 局 


外 日 过 了 夯 3w| Rw - 


日 图 $5-2003 (SQL Server 9.0. 1399 - GS-2003W 
Ee [a 6S-2003 (SQL Server 9.0.] 
回回 服务 器 对 象 Gs-2003 
田 加 复制 
加 管理 


田 Notification Services 


园 SQL Server 代理 (已 禁用 代理 XP) 


辐 Wotification Services 


荡 sQL Server 代理 已 禁用 代理 XP) 


图 5.1 数据 库 服 务 器 管理 窗口 


| 
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(4) 设 定 sa 的 密码 : 在 “对 象 资源 管理 器 " 窗 体 中 ,展开 “安全 性 ”一 “登录 名 ”一 “sa” 
选项 ,然后 右 击 ,在 弹出 的 快捷 菜单 中 选择 “登录 属性 ”选项 ,在 “登录 属性 "窗口 中 的 “ 常 
规 ” 选 项 卡 中 ,为 sa 修改 登录 密码 (密码 为 shanghai_sbs) ,如 图 5. 2 所 示 。 


0D ft SQL 


icre Nanacen i 
文件 访 辑 下 ) 图 工具 G) 窑 口 NY 社区 你 | 才 助 Mn 


马 新 建 查询 mD | 让 | 孙 记 可 | 也 | 


连接 @) ~ | 用 有 四 了 
日 加 55-2003 GQL Server 9.0.1399 - 6S | 弛 用 户 映射 
田 加 数据 库 这 状态 

日 为 安全 性 
日 向 登录 名 
BUILTIN\Adninistrators 


图 5.2 修改 sa 登录 密码 


2) 登录 账户 管理 配置 

使 用 SQL Server 身份 证 连接 服务 器 时 ,用 户 必须 有 有 效 的 SQL Server 2005 登录 账 
户 和 密码 。 建 立 用 户 登 录 账 户 的 方式 有 两 种 : 通过 SQL Server Management Studio 的 
图 形 界面 进行 创建 ; 通过 SQL 语句 建立 。 

(1) 打开 “SQL Server Management Studio”, 用 sa 进行 登录 ,sa 的 密码 已 在 前 面 的 
步 又 (4) 中 设 定 。 

(2) 进入 数据 库 服务 器 管理 窗口 后 展开 * 安 全 性 ”一 "登录 名 ?选项 ,然后 右 击 , 在 弹出 
的 快捷 菜单 中 选择 “新 建 ” 选 项 ,打开 “登录 名 -新 建 "窗口 ,在 “常规 ”中 设置 账户 信息 ,这 些 
信息 将 包含 登录 名 、 身 份 验 证 ,默认 数据 库 及 语言 。 由 于 它们 都 将 涉及 重要 数据 库 安全 
要 素 , 因 此 必须 在 这 里 对 密码 等 信息 严格 设置 ,尽量 采用 复杂 密码 , 即 大 于 或 等 于 13 位 ， 
带 有 数字 ,字母 ,符号 的 信息 ,如 123abc# $ rhhg988。 同 时 也 尽量 使 用 SQL Server 身份 
验证 ,避免 与 Windows 混用 ,杜绝 非 授 权 的 系统 用 户 算 改 数据 库 的 可 能 性 。 在 新 建 登录 
窗口 中 输入 用 户 名 "userl”, 为 了 测试 简单 ,设置 简单 密码 "userl”, 默 认 数 据 库 选 择 
“master”, 上 默认 语言 选择 “simplifiedChinese”, 单 击 “ 确 定 ” 按 钮 ,新 建 userl 成 功 ,将 看 到 
左边 的 登录 名 下 多 了 一 个 userl 账户 。 

(3) 在 图 5. 3 所 示 的 SQL Server Management Studio 的 图 形 界面 中 , 单 击 工具 栏 的 
“新 建 查询 ”按钮 ,在 弹出 的 SQL 命令 编辑 窗口 中 输入 : 


execsp_addlogin 'user2', 'user2', 'master', 'simplifiedchinese' 


(4) 检查 语法 单 击 VY 按钮 ,运行 单 击 ， 执 9 名 按 钮 。 返 回 值 是 “命令 已 成 功 完成 ”, 即 
成 功 创建 。 重 新 启动 SQL Server Management Studio, 检 查 用 户 情 况 。 


六 件 (FE) 


GD) 视图 Q) 查询 @) 项 目 E) 工具 GD) 


。 第 5 章 数 据 库 篇 。 8 
窗口 QD 社区 CC) 帮助 0D 


四 硬 | 凡 | 二 久久 | 记 | 区 加 加 | 队 目 除 防 人 昌 


5S-2003. mes. .. LQueryl. sql* 


二 


-| ?执行 QW) a 史学 | 妈 | 名 | 六 哆 四 | 的 图 | 加 | 


exec sp_addlogin ‘user2','user2','pub 
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图 5.3 新 建 用 户 


(5) 设置 服务 器 角色 。 用 sa 登录 名 登录 ,新 建 user3 登录 名 ,为 测试 简单 ,密码 也 是 
user3 ,设置 user3 的 服务 器 角色 为 所 有 ,如 图 5.4 所 示 。 


服务 器 角色 用 于 向 用 户 授 予 服务 器 范围 内 的 安全 特权 - 


所 示 。 


加 也 涩 据 库 。 
日 息 安全 性 


(6) 重新 启动 SQL Server Management Studio, 用 user3 登录 ,其 窗口 如 图 5.5 
日 国 登录 名 
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图 5.5 用 user3 登录 
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(7) 用 前 面 的 SQL 命令 创建 的 user2 用 户 进行 登录 ,出 现 如 图 5.6 所 示 的 窗口 ,可 
见 , 在 不 同 的 服务 器 角色 中 ,命令 的 限定 将 影响 实际 使 用 中 的 操作 效果 ,这 点 必须 在 将 来 
的 实际 环境 中 引起 重视 。 
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图 5.6 用 user2 登录 


3. 思考 题 
查 资料 对 比 以 下 各 种 服务 器 角色 代表 的 含义 。 


。 bulkadmin 


dbcreator 


diskadmin 


processadmin 


securityadmin 


serveradmin 


setupadmin 


。 sysadmin 
实验 9 数据 库 审计 实验 
一 、 实 验 目 的 


学 会 利用 触发 器 ,制作 基于 函数 的 数据 库 操作 审计 工具 。 更 加 深入 理解 T-SQL 在 
数据 库 中 的 运用 和 意义 ,对 数据 库 安全 产生 更 加 立体 的 认 知 。 

二 、 实 验 原理 

在 工作 中 ,对 数据 改变 情况 进行 审计 是 很 重要 的 ,尤其 是 正在 处 理 的 机 密 信息 。 除 
了 跟踪 被 改变 的 数据 外 ,跟踪 单个 字段 名 称 的 改变 也 十 分 有 用 。 这 些 信息 对 审计 部 门 万 
其 重要 ,而 且 当 调试 数据 库 代 码 时 也 十 分 有 用 。 

在 建立 审计 表 之 前 ,有 必要 对 触发 器 这 一 数据 库 对 象 进行 必要 的 了 解 。 

触发 器 (Trigger) 是 个 特殊 的 存储 过 程 , 它 的 执行 不 是 由 程序 调用 ,也 不 是 手工 启动 ， 
而 是 由 事件 来 触发 ,例如 , 当 对 一 个 表 进 行 操作 (INSERT、DELETE、UPDATE) 时 就 会 
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激活 它 执行 。 触 发 器 经 常用 于 加 强 数据 的 完整 性 约束 和 业务 规则 等 。 触 发 器 可 以 从 


DBA_TRIGGERS,USER_TRIGGERS 数据 字典 中 查 到 。 


利用 触发 器 的 功能 ,我 们 就 可 以 对 某 个 表 建 立 审 计 表 了 , 当 对 一 个 表 进 行 INSERT、 
DELETE、UPDATE 等 操作 时 .利用 触发 器 就 可 以 将 对 数据 表 的 更 改 信息 存 入 审计 表 ， 


从 而 达到 对 关键 数据 库 进行 更 改 跟 踪 的 目的 。 

三 、 实 验 内 容 

1. 实验 环境 

(1) 硬件 设备 : 小 组 PC(Windows Server 2003 系统 ) 一 台 

(2) 软件 工具 : SQL Server 2005 。 

2. 实验 步骤 

(1) 打开 Microsoft SQL Server Management Studio, 用 sa 账户 进 
图 5.7 所 示 的 窗口 。 


Er 编辑 E) ， 讽 国 工具) -二 二 社区 CC) 帮助 0D 
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图 5.7 用 sa 登录 


(2) 右 击 数据 库 图 标 , 选 择 新 建 数据 库 , 数 据 库 名 称 为 TestAudit, 所 有 者 为 sa, 如 


图 5.8 所 示 。 


图 5.8 新 建 TestAudit 数据 库 


[Ey 
数据 库 名 称 df) sumait 
所 有 者 由) : 加 
初始 大 小 IMB] | 自动 增长 路径 
TestAudit 数据 PRINARY 13 增 量 为 1 ID ， 不 限制 增长 C:AProgran Files\Micr 
Testkadit 日 志 不 适用 1 增 量 为 10%, 不 限制 增长 C:\Programn PilesWlier， 


Ba 


(3) 单 击 工 具 栏 的 “新 建 查询 ”按钮 ,在 出 现 的 SQL 语句 编辑 窗口 中 输入 如 下 请 


句 , 单 击 VW 按钮 分 析 代 码 是 否 有 语法 错误 , 单 击 执行 如 按钮 将 建立 数据 库 表 和 和 审 


计 表 。 


useTestAudit 
go 


/* 建立 数据 库 表 grades * / 

createtablegrades( 

studentIDint, 

CourseIDint, 

gradeint, 

primarykey( studentID, courseID) 

); 

/* 建立 审计 表 audit, 对 数据 库 表 grades 的 更 改 情况 进行 记录 * / 
createtableaudit( 

changeTypechar(15), 

changeTimedatetime, 

studentIDint, 

courseIDint, 

gradeint, 
primarykey(changeType, changeTime, studentID, courseID,grade) 
) 


(4) 建立 触发 器 (图 5. 9) ,将 对 grades 表 的 修改 记录 存 人 审计 表 audit 中 。 


use Testhudit 
go 


create trigger cr_GradesChanged on grades for delete,insert,upda 


aa 
/7* 定 义 变量 "/ 
declare BinsercedCounc int 
declare BaeleredCounc int 
declare BchangeType char (10) 
declare BchangeTime darerime 
declare BupdateType char (4) 
在 ne Looe 中 有 网 修 几时 表 保 丰 着 被 共和 补 括 入 的 记录 ， 分 别 中 
/将 插入 和 考 除 的 条 数 存 入 变量 */ 
select BinsertedCount=count(*) from inserted 
select BdeletedCcount=count (*) from deleted 
select BchangeType= 
Ncase 


图 5.9 触发 器 


代码 如 下 : 


/* 创建 触发 器 * / 
createtriggertr GradesChangedongradesfordelete, insert, update 
as 


/* 定义 变量 */ 


A 
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declare(@ insertedCountint 

declare@deletedCountint 

declare@changeTypechar( 10) 

declare@changeTimedatetime 

declare@updateTypechar( 4) 

/* 在 mssqlserver 中 有 两 个 临时 表 保存 着 被 删除 和 被 插入 的 记录 ,分 别 叫 " deleted", 
"inserted".update 可 以 看 做 一 次 删除 和 一 次 添加 * / 

/* 将 插入 和 删除 的 条 数 在 和 人 变量 * / 

select(@ insertedCount = count( * )frominserted 

select(@deletedCount = count( * )fromdeleted 

select(@changeType = 

Case 

when(@ insertedCount > 0and(@deletedCount >0 

then'update"' 

when(@® insertedCount = 0and@@ deletedCount >0 

then'delete' 

else'insert' 

end 

select(@changeTime = getdate( ) 

select(@updateType = "' 

if(@changeType = 'update'select(@updateType = 'old' 

/* 将 对 数据 库 表 grades 的 更 改 记录 存 人 审计 表 中 * / 

insertintoaudit ( changeTYpe，changeTime，studentID，courseID, grade) select (@ changeType + 
@updateType, @ changeTime, studentID, courselID, gradefromdeleted 

if(@changeType = 'insert'select(@updateType = 'new' 

insertintoaudit ( changeType, changeTime, studentID, courseID, grade) select (@ changeType + 
@updateType, @ changeTime, studentID, courseID, gradefrominserted 


(5) 对 数据 库 表 grades 进行 INSERT、UPDATE 和 DELETE 操作 ,查看 审计 表 
audit 的 变化 情况 ,如 图 5. 10 所 示 。 


2010-7-20 17: | 57 
‘2010-7-20 17: 2 % 
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2010-7:20 17:1... 11 al ‘87 
ML MAL ML MAL 


(b) 
5. 10 审计 表 


6。 电子 支付 与 信息 安全 实践 教程 


从 表 5. 10 中 ,可 以 看 到 ,通过 对 数据 表 的 INSERT 和 UPDATE 操作 后 ,在 审计 表 
audit 中 产生 了 相关 记录 。 

3. 思考 题 

(1) 根据 上 文 的 审计 表 的 建立 方法 ,设计 一 个 能 够 记录 登录 账户 名 称 的 审计 表 。 

(2) 上 网 查找 资料 ,一 个 完整 的 审计 表 需 要 包含 哪些 要 素 ,并 通过 实验 建立 包含 完整 
要 素 的 审计 表 。 


电子 商务 应 用 篇 国 


6.1 引言 


电子 商务 是 指 采用 数字 化 电子 方式 进行 商务 数据 交换 和 开展 的 商务 业务 活动 。 它 
是 在 全 球 各 地 广泛 的 商业 贸易 活动 中 ,在 因特网 开放 的 网 络 环境 下 ,基于 浏览 器 /服务 器 
应 用 方式 ,买卖 双方 不 谋面 地 进行 各 种 商贸 活动 ,实现 消费 者 的 网 上 购物 ,商户 之 间 的 网 
上 交易 和 在 线 电子 支付 ,以 及 各 种 商务 活动 .交易 活动 .金融 活动 和 相关 的 综合 服务 活动 
的 一 种 新 型 的 商业 运营 模式 。 电 子 商务 系统 是 涉及 商务 活动 的 各 方 ,包括 商店 、 消 费 者 、 
银行 或 金融 机 构 、 信 息 公 司 或 证 券 公司 和 政府 等 ,利用 计算 机 网 络 技术 全 面 实现 在 线 交 
易 电子 化 的 过 程 。 电 子 商务 系统 的 关键 在 于 完全 实现 在 线 支付 功能 ,所 以 为 了 顺利 完 
整个 交易 过 程 , 不 仅 需 要 建立 电子 商务 服务 系统 、 通 用 的 电子 交易 支付 方法 和 机 制 , 还 要 
确实 保证 参加 交易 各 方 和 所 有 合作 伙伴 都 能 够 安全 可 靠 地 进行 全 部 商业 活动 。 

由 于 电子 商务 是 在 Internet 等 网 络 上 进行 的 ,因此 ,网 络 是 电子 商务 最 基本 的 构架 。 
电子 商务 还 强调 使 系统 的 软件 和 硬件 、 参 加 交易 的 买方 .卖方 .银行 或 金融 机 构 . 厂 商 、 企 
业 和 所 有 合作 伙伴 ,都 要 在 Internet、Intranet、Extranet 中 密切 结合 起 来 ,共同 从 事 在 网 
络 计 算 环境 下 的 商业 电子 化 应 用 。 

电子 商务 经 过 十 来 年 的 快速 发 展 ,现在 可 以 毫 不 夸张 地 说 , 它 已 经 成 为 国家 社会 经 
济 建设 的 一 个 基本 组 成 部 分 和 国家 未 来 的 重点 发 展 方向 。 越 来 越 多 的 企业 活动 和 个 人 
行为 都 不 得 不 依靠 电子 商务 来 完成 ,人 们 对 电子 商务 的 认识 和 接受 也 从 初期 的 阳春 白雪 
进入 到 现在 大 众 化 的 阶段 。 

借助 网 络 进 行 电子 交易 是 电子 商务 实施 的 重要 环节 。 对 于 网 上 交易 而 言 ,通信 、 计 
算 机 、 电 子 支付 以 及 安全 等 现代 信息 技术 是 其 实现 的 保证 。 网 上 交易 的 过 程 如 图 6. 1 
所 示 。 
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图 6.1 电子 商务 网 上 交易 示意 图 


消费 者 向 商家 发 出 购物 请 求 , 商 家 把 消费 者 的 支付 指令 通过 支付 网 关 ( 负 责 将 持 卡 
人 的 账户 中 的 资金 转 入 商家 账户 的 金融 机 构 , 由 金融 机 构 或 第 三 方 控 制 ,处 理 持 卡 人 购 
买 和 商家 支付 的 请 求 ) 送 往 商 家 的 收 单行 , 收 单行 通过 银行 卡 网 络 从 发 卡 行 (消费 者 开户 
行 ) 取 得 授权 后 ,把 授权 信息 通过 支付 网 关 送 回 商家 ,商家 取得 授权 后 ,向 消费 者 发 送 购 
物 回 应 信息 。 在 这 个 过 程 中 ,认证 机 构 需 分 别 向 持 卡 人 、 商 家 和 支付 网 关 发 出 持 卡 人 证 
书 、 商 家 证 书 和 支付 网 关 证 书 。 三 者 在 传输 信息 时 ,要 加 上 发 出 方 的 数字 签名 ,并 用 接收 
方 的 公开 密 钥 对 信息 加 密 , 这 样 ,实现 商家 无 法 获得 持 卡 人 的 信用 卡 信息 ,银行 无 法 获得 
持 卡 人 的 购物 信息 ,同时 保证 商家 能 收 到 货款 和 进行 支付 。 

网 上 交易 的 过 程 看 似 简单 ,但 却 是 建立 在 电子 商务 基本 框架 基础 之 上 的 。 


6.2 电子 商务 的 基本 框架 结构 


电子 商务 的 框架 结构 是 指 电子 商务 活动 环境 中 所 涉及 的 各 个 领域 以 及 实现 电子 商 
务 应 具备 的 技术 保证 。 从 总 体 上 来 看 ,电子 商务 框架 结构 由 三 个 层次 和 两 大 支柱 构成 。 
其 中 ,电子 商务 框架 结构 的 三 个 层次 分 别 是 网 络 层 、 信 息 发 布 与 传输 层 、 电 子 商 务 服 务 和 
应 用 层 ; 两 大 支柱 是 指 社会 人 文 性 的 公共 政策 和 法 律 规范 与 自然 科技 性 的 技术 标准 和 网 
络 协议 。 电 子 商 务 的 框架 结构 模型 如 图 6. 2 所 示 。 

(1) 网 络 层 : 网 络 层 指 网 络 基础 设施 ,是 实现 电子 商务 的 最 底层 的 基础 设施 , 它 是 信 
息 的 传输 系统 ,也 是 实现 电子 商务 的 基本 保证 。 它 包括 有 线 电 视 网 .无 线 通信 网 .远程 通 
信 网 和 互联 网 。 因 为 电子 商务 的 主要 业务 是 基于 Internet 的 ,所 以 互联 网 是 网 络 基础 设 
施 中 最 重要 的 部 分 。 

(2) 信息 发 布 与 传输 层 : 网 络 层 决定 了 电子 商务 信息 传输 使 用 的 线路 ,而 信息 发 布 
与 传输 层 则 解决 如 何在 网 络 上 传输 信息 和 传输 何 种 信息 的 问题 。 目 前 Internet 上 最 常 
用 的 信息 发 布 方 式 是 在 WWW 上 用 HTML 语言 的 形式 发 布 网 页 ,并 将 Web 服务 器 中 发 
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图 6.2 电子 商务 的 框架 结构 模型 


布 传输 的 文本 ,数据 声音、 图 像 和 视频 等 多 媒体 信息 发 送 到 接收 者 手中 。 从 技术 角度 而 
言 ,电子 商务 系统 的 整个 过 程 就 是 围绕 信息 的 发 布 和 传输 进行 的 。 

(3) 电子 商务 服务 和 应 用 层 : 电子 商务 服务 层 实现 标准 的 网 上 商务 活动 服务 ,如 网 
上 广告 ,网 上 零售 .商品 目录 服务 .电子 支付 ,客户 服务 .电子 认证 (CA 认证 )、 商 业 信息 安 
全 传送 等 ,其 真正 的 核心 是 CA 认证 。 因 为 电子 商务 是 在 网 上 进行 的 商务 活动 ,参与 交易 
的 商务 活动 各 方 互 不 见面 ,所 以 身份 的 确认 与 安全 通信 变 得 非常 重要 。CA 认证 中 心 担 
当 着 网 上 “公安 局 "和 “工商 局 ”的 角色 ,而 它 给 参与 交易 者 签发 的 数字 证 书 就 类 似 于 “网 
上 的 身份 证 ”, 用 来 确认 电子 商务 活动 中 各 自 的 身份 ,并 通过 加 密 和 解密 的 方法 实现 网 上 
安全 的 信息 交换 与 安全 交易 。 

在 基础 通信 设施 .多 媒体 信息 发 布 、 信 息 传输 以 及 各 种 相关 服务 的 基础 上 ,人 们 就 可 
以 进行 各 种 实际 应 用 。 例 如 , 像 供应 链 管 理 ` 企 业 资源 计划 、 客 户 关系 管理 等 各 种 实际 信 
息 系统 ,以 及 在 此 基础 上 开展 企业 的 知识 管理 、 竞 争 情报 活动 等 。 而 企业 的 供应 商 、 经 销 
商 、 合 作 伙伴 以 及 消费 者 、 政 府 部 门 等 参与 电子 互动 的 主体 也 是 在 这 个 层面 上 和 企业 产 
生 各 种 互动 。 

(4) 公共 政策 和 法 律 规范 : 法 律 维系 着 商务 活动 的 正常 运作 ,对 市 场 的 稳定 发 展 起 
到 了 很 好 的 制约 和 规范 作用 。 进 行商 务 活 动 必 须 遵 守 国家 的 法 律 ,法规 和 相应 的 政策 ， 
同时 还 要 有 道德 和 伦理 规范 的 自我 约束 和 管理 ,二 者 相互 融合 ,才能 使 商务 活动 有 序 
进行 。 

随 着 电子 商务 的 产生 ,由 此 引发 的 问题 和 纠纷 不 断 增加 , 原 有 的 法 律 ,法规 已 经 不 能 
适应 新 的 发 展 环境 ,制定 新 的 法 律 ,法规 并 形成 一 个 成 熟 .统一 的 法 律 体系 ,成 为 世界 各 
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国 发 展 电子 商务 的 必然 趋势 。 

(5) 技术 标准 和 网 络 协议 : 技术 标准 定义 了 用 户 接口 、 传 输 协议 .信息 发 布 标准 等 技 
术 细 节 。 它 是 信息 发 布 ,传递 的 基础 ,是 网 络 信息 一 致 性 的 保证 。 就 整个 网 络 环境 来 说 ， 
标准 对 于 保证 兼容 性 和 通用 性 是 十 分 重要 的 。 

网 络 协议 是 计算 机 网 络 通信 的 技术 标准 ,对 于 处 在 计算 机 网 络 中 的 两 个 不 同 地 理 位 
置 上 的 企业 来 说 ,要 进行 通信 ,必须 按照 通信 双方 预先 共同 约定 好 的 规程 进行 ,这 些 共同 
的 约定 和 规程 就 是 网 络 协议 。 


6.3 电子 商务 系统 的 应 用 


电子 商务 系统 是 由 许多 系统 角色 构成 的 一 个 大 系统 。 电 子 商 务 系统 的 主要 角色 有 
采购 者 、 供 应 者 、 支 付 中 心 、 认 证 中 心 .物流 中 心 .电子 商务 服务 商 等 。 电 子 商务 的 价值 主 
要 体现 在 与 企业 结合 ,特别 是 与 传统 企业 进行 整合 ,提升 企业 的 竞争 能 力 上 。 电 子 商务 
的 实质 是 企业 利用 电子 方式 在 客户 ,供应 商 和 合作 伙伴 之 间 , 实 现在 线 交易 、 相 互 协 作 和 
价值 交换 。 除 了 支持 在 网 上 交易 中 购销 的 活动 外 ,更 强调 交易 流程 的 整体 效率 与 效益 的 
提升 。 商 家 通过 网 上 交易 市 场 开发 新 的 市 场 及 客户 群 、 维 护 老 顾客 、 提 升 供应 链 效率 ,从 
而 为 企业 扩大 市 场 收入 .降低 运营 成 本 、 赢 得 更 高 的 投资 回报 创造 良好 的 条 件 。 

然而 在 电子 商务 的 实际 应 用 过 程 中 ,由 于 各 企业 的 性 质 和 规模 存在 一 定 的 差异 , 因 
此 电子 商务 实现 的 要 求 各 不 相同 。 就 像 有 的 企业 是 面向 消费 者 的 ,有 的 电子 商务 服务 是 
面向 供应 商 或 销售 商 的 ,甚至 两 者 兼 而 有 之 ; 在 商务 活动 上 有 电子 采购 和 在 线 客户 服务 
等 。 下 面 以 企业 为 例 , 介 绍 电子 商务 的 应 用 结构 ,为 电子 商务 模式 分 析 提 供 一 个 整体 性 
的 框架 ,如 图 6. 3 所 示 。 
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图 6.3 电子 商务 的 应 用 框架 


从 图 6. 3 中 可 以 看 出 ,首先 ,电子 商务 所 涉及 的 对 象 不 但 包括 供应 商 、 经 销 商 、 消 费 
者 ,而 且 还 包括 有 关 的 合作 伙伴 ,如 物流 公司 .银行 等 ,他 们 共同 形成 一 个 完整 的 供应 链 。 
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但 对 于 一 个 企业 来 说 ,其 电子 商务 系统 的 运作 往往 只 和 相 邻 的 上 、 下 游 的 企业 发 生 业 务 
关系 。 其 次 ,电子 商务 系统 的 业务 从 材料 采购 到 产品 销售 和 最 终 售 后 服务 ,覆盖 范围 非 
常 广 ,包括 市 场 . 销 售 ` 采 购 .配送 /后 勤 .客户 服务 等 。 最 后 ,电子 商务 系统 的 解决 方案 应 
该 和 企业 内 部 的 管理 系统 (如 MIS/ERP) 进 行 集成 ,只 有 这 样 才能 真正 提升 企业 的 管理 
效率 。 


6.4 电子 商务 的 交易 模式 


电子 商务 从 不 同 的 角度 出 发 ,有 不 同 的 分 类 方法 ,并 且 由 于 电子 商务 的 参与 者 众多 ， 
如 企业 、 消 费 者 ,政府 、 接 入 服务 的 提供 商 (ISP) ,在 线 服务 的 提供 者 、 配 送 和 支付 服务 的 
提供 机 构 等 ,他 们 的 性 质 各 不 相同 ,可 分 为 B(Business)、C(Customer)、G(Government)， 
由 此 形成 了 以 下 电子 商务 交易 模式 : B2B、B2C、C2C、B2G、C2G 等 。 目 前 应 用 范围 比较 
广泛 的 是 B2C、B2B、C2C 三 大 类 。 


6.4.1 B2C 交易 模式 


B2C(Business to Customer) 电 子 商 务 是 指 企业 与 消费 者 之 间 以 Internet 为 主要 服 
务 手段 进行 的 商务 活动 。 它 是 一 种 电子 化 零售 模式 ,采用 在 线 销售 ,以 网 络 手段 实现 公 
众 消费 和 提供 服务 ,并 保证 与 其 相关 的 付款 方式 电子 化 。 它 是 随 着 WWW 的 出 现 而 迅速 
发 展 起 来 的 ,目前 在 Internet 上 遍布 着 各 种 类 型 的 网 上 商店 和 虚拟 商业 中 心 ,提供 从 鲜 
花 , 书 籍 、 饮 料 、 食 品 、 玩 具 到 计算 机 、 汽 车 等 各 种 消费 品 和 服务 。Internet 上 有 很 多 这 一 
类 型 电子 商务 成 功 应 用 的 例子 ,如 全 球 最 大 的 虚拟 书店 Amazon. com。 为 了 获得 消费 者 
的 认同 ,网 上 销售 商 在 “网 络 商店 ”的 布置 上 往往 和 煞费苦心。 网 上 商品 不 是 摆 在 货架 上 ， 
而 是 做 成 了 电子 目录 ,里面 有 商品 的 图 片 .详细 说 明 书 .尺寸 和 价格 信息 等 。 
网 上 购买 引擎 和 购买 指南 还 不 时 帮助 消费 者 在 众多 的 商品 品牌 之 间 做 出 选择 。 消 
费 者 对 选中 的 商品 只 要 用 鼠标 轻 轻 一 点 ,再 把 它 拖 到 网 络 的 “购物 车 ”里 就 可 以 了 。 在 付 
款 时 消费 者 需要 输入 自己 的 姓名 、 家 庭 住址 以 及 信用 卡号 码 , 一 点 回 车 ,一 次 网 上 购物 就 
算 完 成 。 为 了 消除 消费 者 的 不 信任 感 ,大 多 数 网 上 销售 商 还 提供 免费 电话 咨询 服务 。 

1，B2C 在 线 交易 流程 

以 消费 者 进行 网 上 购物 为 例 ,B2C 交易 的 过 程 如 下 : 

(1) 消费 者 使 用 自己 的 计算 机 ,通过 互联 网 搜索 想 要 购买 的 商品 。 

(2) 消费 者 在 网 上 浏览 , 选 购 所 需 的 商品 放 入 购物 车 内 ,填写 系统 自动 生成 的 订货 
单 , 包 括 商品 名 称 ,数量 .单价 .总 价 等 ,并 注 明 将 此 商品 何 时 送 到 何 地 以 及 交 给 何人 等 详 
细 信 息 。 

(3) 通过 服务 器 与 有 关 商 店 联系 并 取得 应 答 . 告 之 消费 者 所 购 货物 的 单价 \ 应 付款 
数 、 交 货 等 信息 。 

(4) 消费 者 确认 上 述 信息 后 ,用 电子 钱包 付款 。 在 系统 中 装 和 并 打开 电子 钱包 ,输入 
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自己 的 密码 口令 ,取出 其 中 的 电子 信用 卡 进 行 付款 。 

(5) 电子 信用 卡号 码 被 加 密 发 送 到 相应 的 银行 ,网 上 商店 收 到 订购 单 , 等 待 银行 的 付 
款 确认 。 当 然 商店 不 知道 ,也 不 应 该 知道 顾客 的 信用 卡 信息 ,无 权 ` 也 无 法 处 理 信用 卡 中 
的 钱 款 。 

(6) 如 果 付 款 不 成 功 , 则 说 明 信 用 卡 上 的 钱 款 已 经 超过 透支 限额 或 者 是 上 了 黑 名 单 ， 
消费 者 已 不 能 使 用 该 卡 。 消 费 者 可 再 次 打开 电子 钱包 ,取出 另 一 张 电 子 信用 卡 ,重复 上 
述 操作 。 

(7) 如 果 经 银行 证 明 信 用 卡 有 效 并 已 授权 ,网 上 商店 就 可 付 货 , 同 时 销售 商店 留 下 整 
个 交易 过 程 中 发 生 往来 的 财务 数据 ,并 出 示 一 份 电子 收据 发 送 给 消费 者 。 

(8) 在 上 述 交易 成 交 后 ,网 上 商店 就 按照 消费 者 提供 的 电子 订单 ,将 货物 在 指定 地 点 
交 到 消费 者 指明 的 收 货 人 手中 。 

就 上 述 电 子 购物 而 言 , 在 实际 进行 过 程 中 , 即 从 顾客 输入 订货 单 后 开始 到 拿 到 销售 
商店 出 具 的 电子 收据 为 止 的 全 过 程 仅 用 5 一 20 秒 的 时 间 。 这 种 电子 购物 方式 十 分 省 事 、 
省 力 . 省 时 。 购 物 过 程 中 虽 经 过 信用 卡 公 司 和 商业 银行 等 多 次 进行 身份 确认 ,银行 授权 、 
各 种 财务 数据 交换 和 账 务 往来 等 ,但 所 有 业务 活动 都 是 在 极 短 的 时 间 内 完成 的 。 总 之 ， 
这 种 购物 过 程 彻底 改变 了 传统 的 面对面 交易 和 一 手 交 钱 一 手 交 货 以 及 面谈 等 购物 方式 ， 
是 一 种 新 颖 有 效 、 保 密 性 好 、 安 全 保险 .可 靠 的 电子 购物 过 程 ,利用 各 种 电子 商务 保密 服 
务 系统 ,就 可 以 在 Internet 上 使 用 自己 的 信用 卡 放心 地 购买 自己 所 需要 的 物品 。 

2，B2C 交易 商品 的 特点 

B2C 电子 商务 模式 最 大 的 特点 是 商品 的 交易 完全 通过 网 络 的 方式 进行 ,从 消费 者 在 
网 上 挑选 和 比较 商品 开始 ,到 网 上 购物 支付 和 物流 配送 以 及 售后 服务 ,是 完全 以 网 络 为 
媒介 完成 的 ,企业 和 消费 者 之 间 不 进行 面对面 的 交易 。 因 此 ,B2C 模式 交易 的 商品 有 如 
下 特点 。 

(1) 适合 电子 传输 的 产品 ,如 电影 Flash 音乐 .电子 杂志 等 ,这 样 的 产品 被 当做 B2C 
电子 商务 最 好 的 目标 产品 。 

(2) 具有 标准 化 ,不 易 变 质 、 适 合 传递 的 产品 ,如 小 型 数码 产品 ,而 非 空 调 , 冰 箱 等 大 
件 商 品 。 

(3) 易于 搜索 的 产品 ,如 图 书 .音乐 和 光盘 等 。 

随 着 电子 商务 的 发 展 , 较 大 的 电子 商务 网 站 在 中 心 城市 周边 也 设 有 一 定数 量 的 仓库 
或 物流 中 心 , 网 上 销售 的 商品 也 日 趋 丰 富 .食品 、 农 副产品 ,甚至 汽车 等 也 出 现在 网 上 销 
售 的 产品 目录 中 。 

3. B2C 网 站 实例 

亚马逊 网 上 书店 (http://www. amazon. com) (图 6. 4) 是 国外 较 成 功 的 B2C 网 站 。 
亚马逊 网 上 书店 的 绝 大 部 分 顾客 都 是 个 人 购买 者 ,在 书籍 和 音乐 在 线 零售 商 间 的 竞争 十 
分 激烈 的 情况 下 ,由 于 书籍 和 音乐 都 是 标准 化 产品 ,因此 消费 者 更 看 重 的 主要 是 价格 低 ， 
送 货 快 .良好 的 退货 政策 以 及 有 用 的 客户 服务 等 。 其 网 上 业务 主要 包括 以 下 几 种 : 
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图 6.4 亚马逊 网 上 书店 首页 


(1) 零售 。 亚 马 逊 书店 是 世界 上 最 大 的 在 线 书店 ,也 是 在 线 书籍 市 场 的 领导 者 。 它 
为 超过 150 个 国家 的 1700 万 顾客 服务 ,并 出 售 数 百 万 种 商品 。 为 了 开拓 国际 市 场 , 亚 马 
逊 网 站 上 建 有 “International" 链 接 , 以 方便 浏览 者 访问 亚马逊 针对 非 美国 消费 者 的 网 站 
(中 国 版 网 站 是 http://www. joyo. com)。 

(2) 拍卖 。 亚 马 逊 在 网 站 上 为 全 球 的 个 人 和 小 企业 提供 拍卖 服务 。 它 采用 的 是 单 向 
拍卖 , 即 只 有 一 个 买 家 或 一 个 卖家 ,其 他 人 参与 竞价 。 

(3) 特色 服务 。 亚 马 逊 的 关键 特色 有 方便 快捷 的 浏览 和 搜索 .专家 书评 .针对 个 人 的 
购买 建议 、 较 低 的 价格 .电子 钱包 及 安全 支付 系统 等 。 亚 马 逊 网 站 还 提供 其 他 服务 以 使 
得 在 线 购物 更 加 有 趣 。 例 如 , 随 季节 而 变 的 礼品 创意 与 服务 、 向 顾客 提供 免费 的 电子 动 
面 贺 卡 等 。 

(4) 客户 管理 。 亚 马 逊 借助 其 高 度 自动 化 的 、 高 效率 的 后 台 系统 ,实现 客户 关系 管理 
和 保持 顾客 亲密 度 。 当 顾客 再 次 访问 亚马逊 网 站 时 ,系统 将 识别 顾客 身份 ,并 显示 类 似 
“欢迎 再 次 光临 ,梅里 尔 " 这 样 的 欢迎 语 , 同 时 根据 该 顾客 以 前 购买 的 书籍 种 类 推荐 新 书 。 

亚马逊 网 站 跟踪 顾客 的 购物 历史 ,并 通过 电子 邮件 寄 发 购买 建议 ,以 吸引 回头 客 。 
亚马逊 还 提供 详细 的 产品 描述 和 产品 评级 以 帮助 顾客 做 出 购买 决定 。 这 些 努 力 带 来 了 
令 人 满意 的 购物 体验 ,并 促使 顾客 再 次 访问 该 网 站 。 


6.4.2 B2B 交易 模式 


B2B(Business to Business) 电 子 商 务 是 商业 对 商业 ,或 者 说 是 企业 间 的 电子 商务 交 
易 模 式 , 即 企业 与 企业 之 间 通 过 互联 网 进行 产品 .服务 及 信息 的 交换 。 目 前 ,世界 上 80% 
的 电子 商务 交易 额 是 在 企业 之 间 ,而 不 是 企业 和 消费 者 之 间 完 成 的 。 

B2B 电子 商务 模式 包括 以 下 两 种 基本 模式 : 

(1) 面向 制造 业 或 面向 商业 的 垂直 B2B。 垂 直 B2B 可 分 为 两 个 方向 , 即 上 游 和 下 
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游 。 生 产 商 或 商业 零售 商 可 以 与 上 游 的 供应 商 之 间 形 成 供 货 关 系 ; 生产 商 可 以 与 下 游 的 
经 销 商 形成 销 货 关 系 。 

(2) 面向 中 间 交 易 市 场 的 B2B。 这 种 交易 模式 是 水 平 B2B, 它 是 将 各 个 行业 中 相近 
的 交易 过 程 集中 到 一 个 场所 ,为 企业 的 采购 方 和 供应 方 提供 了 一 个 交易 的 机 会 。B2B 只 
是 企业 实现 电子 商务 的 一 个 开始 , 它 的 应 用 将 会 得 到 不 断 发 展 和 完善 ,并 适应 所 有 行业 
的 企业 的 需要 。 

1.B2B 在 线 交 易 流程 

(1) 采购 方向 供应 方 发 出 交易 意向 ,提出 商品 报价 请 求 并 询问 想 购 买 商品 的 详细 
信息 。 

(2) 供应 方向 采购 方 回答 该 商品 的 报价 ,并 反馈 信息 。 

(3) 采购 方向 供应 方 提出 商品 订购 单 。 

(4) 供应 方 对 采购 方 提出 的 商品 订购 单 做 出 应 答 ,说明 有 无 此 商品 及 目前 存货 的 规 
格 型 号 .品种 ` 质 量 等 信息 。 

(5) 采购 方 根 据 供应 方 的 应 答 决 定 是 否 对 订购 单 进行 调整 ,并 最 终 做 出 购买 商品 信 

(6) 采购 方向 供应 方 提出 商品 运输 要 求 , 明 确 使 用 的 运输 工具 和 交 货 地 点 等 信息 。 

(7) 供应 方向 采购 方 发 出 发 货 通知 ,说 明 所 用 运输 公司 的 名 称 , 交 货 的 时 间 、 地 点 ,所 
用 的 运输 设备 和 包装 等 信息 。 

(8) 采购 方向 供应 方 发 回收 货 通知 。 

(9) 交易 双方 收发 汇款 通知 。 采 购 方 发 出 汇款 通知 ,供应 方 告 之 收 款 信息 。 

(10) 供应 方 备 货 并 开 出 电子 发 票 , 采 购 方 收 到 货物 ,供应 方 收 到 货款 ,整个 B2B 交 
易 流程 结束 。 

如 果 是 外 贸 企 业 , 中 间 还 将 涉及 海关 、 商 检 、 国 际 运 输 、 外 汇 结算 等 业务 。 

2.B2B 交易 平台 上 交易 商品 的 特点 

B2B 交易 模式 与 B2C 模式 相 比 较 有 很 多 特点 ,如 B2B 交易 次 数 少 ,交易 金额 大 , 适 
合 企业 与 供应 商 、 客 户 之 间 大 宗 货物 的 交易 与 买卖 活动 。 另 外 ,B2B 模式 交易 对 象 广泛 ， 
它 的 交易 对 象 可 以 是 任何 一 种 产品 , 即 中 间 产 品 或 最 终 产品 。 因 此 ,B2B 是 目前 电子 商 
务 发 展 的 推动 力 和 主流 。 

下 面 以 面向 中 间 交 易 市 场 的 水 平 B2B 为 主 .介绍 交易 商品 的 特点 。 

(1) 在 B2B 交易 平台 上 交易 的 商品 覆盖 种 类 齐全 。 这 是 因为 企业 和 企业 间 的 交易 
是 大 额 交 易 ,不 像 普通 消费 者 以 日 用 、 休 闲 、 娱 乐 等 消费 品 为 主 , 单 宗 交 易 、 数 额 小 ,交易 
量 大 。 

(2) B2B 交易 在 线 下 完成 .这 和 企业 间 的 大 额 交 易 特 点 有 关 。B2B 只 是 一 个 交易 平 
台 , 将 交易 双方 汇聚 在 一 起 气 合 双方 的 交易 。 

(3) 交易 品 的 种 类 不 受 网 络 交易 的 限制 。 
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3. B2B 网 站 实例 

思科 连接 在 线 (Cisco Connection On line, CCO, http://www. cisco. com/cn/) 
(图 6.5) 是 全 球 路 由 器 、 交 换 机 和 其 他 网 络 互联 设备 的 领导 厂商 。 从 1991 年 开始 ,思科 
公司 使 用 增值 网 提供 电子 化 支持 ,包括 软件 下 载 .故障 跟踪 和 技术 建议 。1994 年 春 , 思 科 
将 服务 系统 放 到 网 上 ,并 把 网 站 命名 为 “思科 连接 在 线 ”。 到 2001 年 ,思科 的 客户 和 分 销 
商 每 月 要 登录 思科 网 站 大 约 130 万 次 以 获取 技术 支持 .检查 订单 或 下 载 软件 。 在 线 服 务 
被 广泛 接受 , 近 85% 的 客户 服务 请 求 和 95% 的 软件 更 新 是 在 线 完成 的 。CCO 被 认为 是 
一 种 成 功 的 B2B 电子 商务 模式 。 下 面 对 其 作 简要 说 明 。 
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图 6.5 思科 公司 首页 


(1) 在 线 订购 。 思 科 公 司 的 所 有 产品 几乎 都 是 根据 订单 生产 的 ,所 以 没有 什么 存货 。 
到 1996 年 7 月 ,通过 因特网 产品 中 心 ,客户 服务 工程 师 坐 在 个 人 计算 机 前 ,在 线 配置 产 
品 , 并 将 订单 转 给 采购 部 门 ,然后 再 以 电子 化 方式 提交 给 思科 公司 。 通 过 使 用 在 线 定 价 
和 配置 工具 ,几乎 所 有 的 订单 ( 约 98%) 都 通过 CCO 处 理 , 为 思科 和 它 的 客户 节省 了 
时 间 。 

(2) 查询 订单 状态 。 思 科 的 网 站 每 月 要 接收 大 约 15 万 份 订 单 状 态 查 询 请 求 。 公 司 
在 国内 外 的 承运 商 使 用 EDI 及 时 将 每 次 装运 的 情况 用 电子 化 方式 输入 到 思科 的 数据 库 
中 ,所 有 的 新 信息 都 能 立即 提供 给 顾客 。 只 要 已 开始 装运 ,思科 就 通过 电子 邮件 向 顾客 
发 出 通知 。 

(3) 思科 从 CCO 获得 的 好 处 。 最 重要 的 好 处 包括 以 下 几 点 : 

@ 降低 订单 处 理 费 用 。 通 过 1998 年 将 网 上 订单 处 理 流程 自动 化 ,思科 每 年 节约 了 
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oo 
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3. 63 亿美 元 。 

@ 提高 技术 支持 和 客户 服务 效率 。 通 过 将 85% 的 技术 支持 和 客户 服务 放 到 网 上 进 
行 ,思科 的 服务 效率 每 年 增加 2. 5 售 。 

@ 降低 费用 。1998 年 ,顾客 直接 从 网 站 上 下 载 思科 最 新 的 软件 版 本 ,为 公司 节约 了 
1. 8 亿美 元 的 复制 ,包装 和 发 行 成 本 ; 降低 技术 支持 人 员 费 用 约 1. 25 亿美 元 。 

@ 交 货 周期 从 4 一 10 天 减少 到 2 一 3 天 。 


6.4.3 ”C2C 交易 模式 


C2CCCustomer to Customer) 电 子 商 务 是 消费 者 对 消费 者 的 交易 ,简单 地 说 就 是 
消费 者 本 身 提 供 服务 或 产品 给 消费 者 。C2C 商务 平台 就 是 通过 为 买卖 双方 提供 一 
个 在 线 交 易 平 台 ,使 卖方 可 以 主动 提供 商品 上 网 拍卖 ,而 买方 可 以 自行 选择 商品 进 
行 竞价 。 

2005 年 初 以 来 ,中 国 网 民 人 数 剧 增 ,上 半年 突破 1. 03 亿 大 关 , 网 民 访 问 购物 网 站 的 
热情 进一步 提高 。 经 常 访问 购物 网 站 的 网 民 比 例 从 2004 年 的 16. 7% 增 加 到 2005 年 的 
53.1% ,增长 了 36. 4 个 百分点 ,而 同时 很 少 访问 购物 网 站 的 网 民 比 例 下降 了 45. 9 个 百 
分 点 。 中 国 个 人 电子 商务 市 场 规模 空前 增长 。 

个 人 电子 商务 市 场 的 巨大 潜力 吸引 了 诸多 国内 外 企业 和 投资 者 的 眼光 ,尽管 当前 中 
国 C2C 电子 商务 市 场 还 没有 显现 任何 莉 利 迹象 ,但 是 培育 中 国 个 人 电子 商务 市 场 已 经 成 
为 国内 外 众多 企业 争取 用 户 份额 . 留 住 客户 、 进 行 强力 竞争 的 手段 。 

1，C2C 在 线 交易 流程 

以 交易 者 网 上 竞拍 为 例 ,C2C 交易 流程 如 下 : 

(1) 交易 者 登录 C2C 类 型 网 站 ,注册 相关 信息 。 

(2) 卖方 发 布 拍卖 商品 的 信息 ,确定 起 拍 价格 和 竞价 幅度 、 截 止 日 期 等 信息 。 

(3) 买方 查询 商品 信息 ,参与 网 上 竞价 过 程 。 

(4) 双方 成 交 ,买方 付 款 , 卖 方 交 货 ,完成 交易 。 

2，C2C 交易 商品 的 特点 

C2C 交易 平台 上 交易 产品 丰富 .范围 广 并 且 以 个 人 消费 品 为 主 。 因 为 C2C 交易 本 质 
上 也 是 网 上 撮合 成 交通 过 网 上 或 者 网 下 的 方式 进行 交易 。 

3. C2C 网 站 实例 

易趣 网 (http://www. ebay. com. cn/)( 图 6.6) 是 中 国 著名 的 电子 商务 公司 ,于 1999 
年 由 邵 亦 波 和 谭 海 音 合作 创办 。 创 业 之 初 ,易趣 将 C2C 服务 作为 发 展 重点 ,努力 打造 能 
促进 个 人 物品 交易 的 平台 。 目 前 ,易趣 网 上 交易 活跃 ,每 30 秒 有 新 登 商品 ,每 10 秒 有 人 
出 价 ,每 60 秒 有 商品 成 交 。 其 用 户 可 以 通过 在 线 交 易 平台 以 竞价 和 定价 形式 买卖 各 式 
各 样 的 物品 。 该 网 站 特点 如 下 : 
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(1) 易趣 不 仅 是 处 理 闲置 物品 的 平台 ,网 站 上 出 现 的 新 品 比例 也 在 不 断 增 加 。 受 消 
费 水 平 限 制 , 我 国 二 手 商品 资源 缺乏 ,于 是 易趣 鼓励 新 品 上 网 交易 。 随 着 新 品 的 激增 , 商 
品 范围 也 迅速 扩张 。 易 趣 网 站 上 商品 的 分 类 从 初期 的 只 有 300 多 个 细 分 类 发 展 到 15 大 
分 类 ,150 多 个 二 级 分 类 .500 多 个 三 级 的 商品 细 分 类 。 

(2) 易趣 的 交易 方式 随 内 容 而 变动 。 随 着 商品 范围 的 增加 , 原 有 单一 的 拍卖 式 交易 
方式 已 不 能 满足 需要 ,易趣 推行 的 定价 销售 方式 受到 了 用 户 的 欢迎 。 为 满足 不 同人 群 的 
需要 ,易趣 又 适时 推出 了 一 系列 全 新 的 交易 方式 ,包括 无 底价 竞标 、 有 底价 竞标 、 定 价 出 
售 , 一 口 价 成 交 等 几 种 交易 方式 。 

(3) 易趣 的 支付 方式 多 种 多 样 。 易 趣 早 期 采用 了 邮局 汇款 、 银 行 卡 、 手 机 等 支付 
方式 ,此 后 ,易趣 又 推出 了 “ 易 付 通 ” 服 务 。 在 卖家 和 买 家 交易 过 程 中 , 买 家 可 以 先 将 
钱 打 入 易趣 特 设 的 一 个 账户 中 ,一旦 钱 到 位 ,易趣 会 马上 通知 卖家 发 货 ; 买 家 收 到 货 
并 对 货物 的 数量 和 质量 没有 疑义 ,易趣 才 会 将 钱 支付 给 卖家 ,有 效 解决 了 信用 风险 
问题 。 

(4) 开设 企业 增值 服务 。 现 有 增值 服务 内 容 包括 网 上 支付 、 物 流 配送 和 短信 息 服务 。 
其 中 ,网 上 支付 的 表现 在 于 易趣 与 招商 银行 .广州 银联 .中 国 银行 .中 国 农业 银行 .中 国 建 
设 银 行 和 中 国 工商 银行 等 合作 ,提供 网 上 支付 服务 。 物 流 配送 方面 ,易趣 与 5291. com、 
快 马 速 递 . 齐 讯 速递 等 物流 企业 合作 ,提供 面向 个 人 用 户 的 物流 解决 方案 ,目前 有 易 付 通 
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和 易趣 推荐 速递 两 种 形式 。 易 趣 短信 息 服务 有 易趣 与 中 国 移动 合作 共 建 易趣 短信 息 服 
务 系统 ,通过 订阅 短 消息 ,用 户 可 以 享受 交易 提醒 、 成 交通 知 . 买 家 留言 传送 等 即时 功能 。 


6.5 电子 政务 


电子 政务 ,在 英文 中 称 为 E-Government, 简 写 为 E-Gov。 电 子 政 务 是 政府 部 门 运用 
先进 的 电子 信息 技术 手段 (计算 机 、 网 络 ,电话 .手机 、 数 字 电 视 等 ), 以 实现 政务 信息 数字 
化 、 政 务 公开 化 、 办 公 高 效 化 、 服 务 网 络 化 等 为 目标 ,将 管理 和 服务 通过 网 络 技术 进行 集 
成 ,向 社会 提供 优质 和 全 方位 的 .规范 而 透明 的 ,符合 国际 标准 的 管理 和 服务 的 过 程 。 电 
子 政务 是 在 吸取 了 电子 商务 的 经 验 基 础 上 发 展 起 来 的 基于 Internet 的 应 用 。 
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一 、 实 验 目的 

利用 软件 来 学 习 掌握 电子 商务 的 基本 交易 实践 活动 。 

二 、 实 验 原理 

电子 商务 就 是 利用 电子 数据 交换 (Electronic Data Interchange,EDI) .电子 邮件 、. 电 
子 资金 转账 (Electronic Financing Turn,EFT) 及 Internet 的 主要 技术 在 个 人 间 、 企 业 间 
和 国家 间 进 行 无 纸 化 的 业务 信息 的 交换 。 

EDI 标准 是 由 各 企业 .各 地 区 代表 共同 讨论 .制订 的 电子 数据 交换 共同 标准 ,可 以 使 
各 组 织 之 间 的 不 同文 件 格式 通过 共同 的 标准 ,获得 彼此 之 间 文 件 交换 的 目的 。EDI 标准 
具有 足够 的 灵活 性 ,可 以 适应 不 同行 业 的 不 同 需求 ,但 由 于 每 个 公司 都 有 其 自己 所 规定 的 
信息 格式 ,因此 当 发 送 EDI 电文 时 ,必须 将 公司 内 部 数据 翻译 成 EDI 的 标准 格式 进行 传输 。 

三 、 实 验 背景 

李 明 以 及 他 的 企业 “南京 奥 派 科技 "都 将 需要 学 习 利用 电子 商务 。 李 明 要 给 王 军 和 
张 玲 转账 ,首先 他 要 给 自己 注册 一 个 个 人 银行 账户 ,并 进行 存款 。 南 京 奥 派 科技 与 南京 
缀 天 科技 素 有 生意 往来 ,要 利用 电子 商务 ,就 需要 在 网 上 银行 开通 企业 付款 通道 。 

四 、 实 验 内 容 

实验 开始 前 , 先 要 进行 个 人 信息 和 企业 信息 的 维护 ,网 上 银行 参数 设置 。 

提示 : 

李 明 和 王 军 申请 工商 银行 的 账户 , 张 玲 申 请 招商 银行 的 账户 ; 南京 奥 派 科技 和 南京 
过 天 科技 各 在 工商 银行 注册 一 个 企业 账户 。 

五 、 实 验 步骤 

1. 基础 信息 设置 

(1) 按照 图 6.7 输入 学 生 用 户 名 和 密码 , 单 击 “登录 ”按钮 。 登 录 后 可 以 看 到 教师 为 
该 学 生 制 定 的 实验 列表 , 单 击 “进入 ?按钮 , 即 可 进入 该 实验 。 
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图 6.7 用 户 登 录 


(2) 为 该 实验 创建 空间 : 单 击 “ 我 也 要 建 实验 空间 ”标签 ,开始 创建 空间 ,如 图 6.8 所 
示 。 输 入 空间 名 称 , 并 选择 空间 类 型 .实验 类 型 , 单 击 “ 创 建 "按钮 ,然后 单 击 空 间 后 的 “ 进 
内 达 反 公共 空间 | 中 我 也 要 建 实验 空间 


空间 名 称 [*] : 区 于 


空间 密码 : 


空间 类 型 : ”他 交互 模型 C 〇 独立 模型 


实验 类 型 :人 开放 型 C 任务 引导 型 
[ET 


图 6.8 创建 空间 


2. 申请 个 人 账户 

(1) 选择 “电子 支付 实践 "模块 ,可 见 该 模块 下 有 两 部 分 ,分 别 为 “网 上 银行 "和 “支付 
通 ”, 如 图 6.9 所 示 。 李 明 要 申请 他 在 工商 银行 的 个 人 账户 ,首先 就 要 选择 “中 国 工商 银 
行 ”选项 , 单 击 “ 个 人 账户 申请 ” 超 链接 。 

(2) 填写 注册 信息 ,然后 单 击 下 方 的 “申请 ”按钮 ,如 图 6. 10 所 示 。 

(3) 单 击 右 下 角 的 “切换 用 户 ”, 进 入 “银行 柜台 ”( 参 见 图 6. 9) ,对 申请 的 账户 进行 审 
批 ,如 图 6. 11 所 示 。 单 击 操作 下 方 的 “审批 "按钮 ,审批 通过 , 李 明 的 这 个 账户 申请 成 功 。 
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证 种 守 相 EE3 [sc FTTTTTTTTTTTTT 
WP 区 了 PR 一 
PTR = MPa = 
[EE Fe | 
FNT ABP RSM Er 
cr 


NS CE 
ERJTTTTTTTTTTTTTT 025-12345678 


[emsn: 1 erm: 1 smn: 1 


图 6.11 审核 账户 申请 


(4) 按照 以 上 步骤 ,在 工商 银行 申请 王 军 的 个 人 账户 ,在 招商 银行 申请 张 玲 的 个 人 账 
户 。 申 请 的 时 候 要 注意 ,系统 默认 的 是 李 明 的 资料 ,需要 把 相关 信息 改过 来 。 另 外 ,在 招 
商 银行 申请 账户 时 ,需要 在 “角色 选择 ”下拉 列表 框 中 选择 相应 的 银行 。 

3. 申请 企业 账户 

(1) 单 击 “企业 账户 申请 ” 超 链接 (参见 图 6. 9) ,按照 申请 要 求 ,填写 申请 表 , 如 
图 6.12 所 示 。 填 写 完成 后 , 单 击 表格 下 方 的 “申请 ”按钮 ,等 待 银行 柜台 审核 。 


ns | Le | 


Er 


EE 
Cr 
MEN EE 区 到 
Er [Er | 
RE TT 
Er rT 
Er 机 
Ep AEH [RE ER i 
ER Paa J EEC hmnoei2s.com 
i 人 | FE [Es | 
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图 6.12 企业 账户 申请 
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二 

(2) 单 击 “ 银 行 柜台 ” 右 侧 的 “进入 ” 超 链接 (参见 图 6. 9)。 在 “注册 账户 申请 审批 ”中 

选择 “企业 客户 ”选项 卡 ,如 图 6. 13 所 示 。 单 击 操作 下 方 的 “审批 ”按钮 ,审批 通过 ,账户 
申请 成 功 。 


BEL ES “| 
FE 


[EE | 
[ET 
7 i TT 
图 6.13 企业 账户 审核 
(3) 按照 以 上 步骤 ,申请 南京 胜 天 科技 的 银行 账户 。 
4. 网 上 银行 支付 初步 
1) 个 人 银行 存款 
李 明 要 在 自己 的 账户 中 存 入 10 万 元 。 
(1) 在 “ 李 明 ” 的 右 侧 单 击 “ 进 入 银行 柜台 ” 超 链 接 , 如 图 6. 14 所 示 。 
角色 选择 [ETRIR 国 
RTE 上 ba 
全 个 \ 叶 户 i 个 位 户 申请 
品 李 明 


6555 6745 5198 9645 [全 记 卡 ] 


图 6.14 进入 银行 柜台 


(2) 在 存款 金额 中 填 人 所 要 存 人 的 金额 (100 000) ,然后 单 击 * 确 定 存款 ”按钮 ,如 
图 6.15 所 示 。 


j6555674551989645 


100000 


图 6.15 输入 存款 


(3) 按照 以 上 步骤 ,为 王 军 、 张 玲 各 存 入 1000 元 。 


2) 个 人 银行 转账 
(1) 同行 转账 : 李 明 要 给 同 在 工商 银行 开户 的 王 军 打 1000 块 钱 ,进入 个 人 网 上 银 


行 , 单 击 “ 进 入 银行 柜台 ” 超 链接 ,如 图 6.16 所 示 。 


oi 


06 。 电子 支付 与 信息 安全 实践 教程 、 


角色 连 返 中 国 了 商 根 行 
做 银 行 柜 8 进入 
机 了 和 
司 李 明 
6555 6745 5198 9645 [ 惜 记 卡 ] 进入 可行 柜台 | 进入 同上 银行 


图 6. 16 进入 银行 柜台 


(2) 在 左 侧 的 “转账 汇款 "中 选择 "同行 转账 ”选项 , 按 要 求 填 好 汇款 单 , 如 图 6. 17 
所 示 。 


国 单 笔 转账 汇款 : 


2009-04-29 
付款 人 姓名 李 明 

帐户 EE | 
攻 ”自动 光 择 收 款 人 
[6555652162537371) 
B3491232 J 


图 6.17 填写 汇款 单 


(3) 单 击 “ 提 交 ” 按 钮 ,再 输入 交易 密码 ,如 图 6.18 所 示 。 单 击 “ 确 定 ” 按 钮 ,此 次 转账 


就 成 功 了 。 
国 单 笔 转账 汇款 : 
汇款 日 期 2009-04-29 
付款 人 姓名 李 明 
账户 6555651689099824 
收 款 人 姓名 王 军 
收 款 人 账号 6555652162537371 
收 款 人 电话 号 码 83491232 
金额 1000 
金额 (大 写 ) 查 件 元 整 
交易 附 言 
区 Er 


图 6. 18 ”填写 交易 密码 


(4) 跨行 转账 : 张 玲 的 开户 银行 是 招商 银行 .她 也 可 以 接受 在 工商 银行 开户 的 李 明 
汇款 。 在 “转账 汇款 ”中 选择 “跨行 转账 "选项 , 按 要 求 填 好 汇款 单 ,如 图 6. 19 所 示 。 
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ED 2009-04-29 
EEC ES 
碌 户 [ss 司 
收 其 人 娃 各 玖 EN 
收 喜人 隐 号 [6555651689099824] 
收 项 人 电话 号 码 B3491231 J 
路基 人 开户 寺 区 EH | 开 忆 机 市 : [市 和 区 辐 
收 藕 人 际 户 所 尾 根 行 [ES | 
收 攻 束 户 开 户 行 [富国 工商 根 行 北京 市 分 行 辕 | 
li1000 ] 
宣 作 元 束 


图 6.19 


跨行 转账 


(5) 单 击 “ 提 交 ” 按 钮 ,再 输入 交易 密码 ,如 图 6.20 所 示 。 单 击 “ 确 定 ” 按 钮 ,此 次 转账 


就 成 功 了 。 
付 歌 人 姓名 张 珍 
账户 6555863229724992 
收 藉 人 姓名 李 明 
收 艾 人 账号 6555651689099824 
收 藉 人 电话 号 码 83491231 
收 款 人 开户 地 区 省 (直辖 市 ) ; 北京 市 开户 城市 : 市 辖区 
收 款 人 账户 所 原 恨 行 中 国 工商 彤 行 
收 菊 名 户 开户 行 中 国 工商 冲 行 北京 市 分 行 
ES 1000 
全 额 ( 大 写 ) 放任 元 整 
交易 卫 砍 
交易 密码 


图 6. 20 


3) 企业 银行 存款 
当 企业 银行 账户 申请 成 功 之 后 ,会 收 到 新 邮件 ,告诉 你 账户 的 用 户 名 和 密码 ,这 在 以 
后 的 操作 中 是 要 用 到 的 。 
(1) 单 击 计算 机 桌面 右 下 角 的 男 按钮 ,注意 不 同 的 企业 对 应 不 同 的 账号 。 单 击 
“邮件 主题 ”查看 邮件 内 容 , 如 图 6. 21 所 示 。 需 要 记 住 账户 的 用 户 名 和 密码 ,在 登录 企 
业 网 上 银行 的 时 候 需要 用 到 。 


邮件 阅读 


输入 交易 密码 


中 国 工商 银行 企业 账户 (6555676474070967) 注 册 成 功 


图 6.21 邮件 内 容 


10F 


0。 电子 支付 与信 息 安全 实践 教程 、 


(2) 单 击 “ 进 入 银行 柜台 ” 超 链接 ,输入 存款 金额 ,如 图 6. 22 所 示 。 单 击 “ 确 定 存 款 ” 


按钮 , 即 操作 成 功 。 
BE 
力 存 次 
A 
， 账户 销 户 申请 
， 自助 货款 办 理 申请 


图 6.22 输入 存款 金额 


5. 企业 账户 开通 付款 通道 
(1) 单 击 “ 进 入 银行 柜台 ” 超 链接 ,进入 南京 奥 派 科技 的 企业 银行 柜台 ,在 界面 的 左边 
选择 “企业 付款 通道 申请 ”选项 ,填写 申请 表 , 如 图 6. 23 所 示 。 其 中 的 “实时 反馈 URL" 是 


指 网 页 地 址 ,是 因特网 上 标准 资源 的 地 址 。 填 写 完成 后 , 单 击 “ 申 请 ”按钮 ,等 待 银行 
审批 。 
国 taf 
eT 
er > 
ee | 
[| 


图 6.23 企业 付款 通道 申请 


(2) 切换 用 户 , 进 入 “银行 柜台 ”, 选 择 “ 企 业 付款 通道 申请 审批 "选项 , 单 击 “ 审 批 " 按 
钮 ,进行 审批 ,然后 单 击 “ 审 批 通 过 "按钮 ,如 图 6. 24 所 示 。 


付款 通道 业务 审批 


国 付款 通道 业务 审批 


6555671014695822 
11111111 

B2B 

1111 
http://www.allpass.com.cn 


申请 企业 各 称 
经 办 人 姓名 | 李 明 联系 电话 
| liming1@126.com 


图 6.24 审批 通过 
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6. 支付 通 初 步 

给 支付 通 的 服务 商 绑 定 银 行 账户 。 李 明 需 要 在 支付 通 网 站 申请 账户 ,并 通过 网 上 银 
行进 行 充 值 , 支 付 通 账 户 里 面 的 钱 也 可 以 用 来 提现 。 由 于 在 电子 商务 应 用 模型 B2B、B2C 
及 C2C 中 的 服务 商 要 设置 支付 通 账号 , 李 明 在 申请 支付 通 账号 之 后 ,还 必须 开通 一 下 商 
家 服务 , 才 会 有 商号 和 密 钥 ,商号 和 密 钥 在 服务 商 绑 定 支付 通 账号 时 会 用 到 。 

1) 开通 支付 通 账户 

(1) 在 “电子 支付 实践 "模块 中 单 击 "支付 通 ”, 在 "支付 通 ” 选 项 卡 的 “服务 商 平 台 ” 右 
侧 单 击 “ 进 入 "按钮 ,为 服务 商 绑 定 一 个 银行 账号 。 这 样 , 支 付 通 的 用 户 才 能 使 用 支付 通 。 
在 “银行 账户 管理 "中 单 击 * 新 增 账户 ?按钮 ,如 图 6. 25 所 示 。 


国 服务 商 管理 国 WP 
~ 支付 各 理 所 在 良 行 客户 篇 号 课 行 名 称 银行 三 号 
“银行 账户 管理 [EE 
图 6.25 新 增 账户 


(2) 填写 账户 信息 ,银行 商户 编号 在 登录 企业 网 上 银行 时 可 以 看 到 。 填 写 完 成 后 单 
fi“ 漆 加 银行 账户 "按钮, 这样, 服务 商 就 成 功 绑 定 银行 账户 了 ,如 图 6.26 所 示 。 


图 银行 终 户 管理 


人 


机 行 名 麻 :| [中 下 工商 横生 国 
斯 在 要 行商 户 撒 呈 : [~] 
企业 名称 ; [~] 末 训 间 浙 香 近 
银行 帐号 : [~] ||6555671014695822 
| 汪 二 入 的 要 行 户 需 开 通 企 业 付 和 通道 功能 。 如 阿 开 证 企业 付 识 通道 功 能? 
Cae | 


图 6.26 新 增 账户 信息 


(3) 单 击 “ 支 付 通 平台 "后面 的 进入” 按钮。 注册 支付 通 账 户 有 两 种 方法 : 可 以 使 用 
手机 注册 ,也 可 以 使 用 邮箱 注册 。 这 里 李 明 以 个 人 身份 ,选择 用 手机 注册 。 在 弹出 的 界 
面 中 输入 手机 号 码 和 校 验 码 , 单 击 “ 同 意 并 确认 注册 ”按钮 ,如 图 6. 27 所 示 。 


第 ] 步 : 填写 账户 名 
请 填写 您 的 常用 手机 号 码 , 


rm | 


@ 医科 本 向 比 号 码 发 送 确 六 信息 ， 请 他 绍 核对 填写 的 手机 号 码 是 否 正 确 


“| 请 输入 左 侧 图 片 中 的 校 验 码 . 


图 6. 27 填写 手机 注册 信息 


um 


410 


电子 支付 与 信息 安全 实践 教程 、 


(4) 这 时 ,注册 手机 会 收 到 一 条 包含 校 验 码 的 短信 。 单 击 界面 右 下 方 的 七 <1> 按钮 ， 
查看 校 验 码 , 如 图 6.28 所 示 。 


时 间 : 2010-11-16 10:04:14 
发 御 人 : 支付 天 又 务 商 

您 即将 注册 成 功 的 支付 通 账户 ( 1391 
1111111 ) 的 验证 码 为 : 550179 


图 6.28 手机 注册 


(5) 在 弹出 的 界面 中 ,输入 校 验 码 , 单 击 “ 下 一 步 ”按钮 。 然 后 填写 相关 信息 , 单 击 “ 同 意 
以 下 条 款 ,并 确认 注册 ”按钮 ,如 图 6. 29 所 示 。 这 样 , 李 明 就 成 功 注册 了 他 的 支付 通 账 户 。 

用 邮箱 注册 账户 的 方法 相似 。 

注意 : 使 用 邮箱 注册 的 支付 通 账 户 需要 进入 邮箱 进行 激活 。 进 入 右 下 角 的 邮箱 , 阅 
读 邮 件 , 单 击 激活 链接 即 可 。 

2) 支付 通 账户 充值 以 及 提现 

(1) 充值 : 李 明 要 使 用 支付 通 ,他 的 账户 里 面 就 需要 充值 ,以 方便 在 以 后 的 电子 商务 
实践 中 付款 。 进 入 李 明 个 人 的 支付 通 账户 ,在 “我 的 支付 通 ” 中 选择 “充值 ”选项 ,如 
图 6.30 所 示 。 李 明 是 要 给 自己 的 账户 充值 ,而 他 的 开户 银行 是 工商 银行 ,所 以 选择 “中 
国 工商 银行 ”, 充 值 10 000 元 。 输 入 充值 金额 , 单 击 “ 下 一 步 ?按钮 。 

(2) 单 击 “ 去 网 上 银行 充值 ”按钮 ,在 出 现 充值 的 订单 中 , 按 要 求 输入 自己 的 银行 账号 
和 密码 ,以 及 附加 码 , 单 击 “ 确 定 ” 按 钮 。 充 值 成 功 后 .系统 给 出 提示 ,表示 李 明 成 功 地 给 
自己 的 支付 通 账 户 充值 了 10 000 元。 

(3) 提现 : 支付 通 提现 的 金额 是 打 到 绑 定 的 银行 账户 中 的 。 同 充值 操作 一 样 , 只 是 在 
“我 的 支付 通 ” 中 改选 “提现 ”选项 。 申 请 提现 ,首先 是 要 设置 银行 账号 ,如 图 6. 31 所 示 。 

(4) 输入 支付 密码 。 

注意 : 该 支付 密码 是 指 支付 通 账 户 的 支付 密码 ,而 非 银行 账号 的 密码 。 


文人 
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和 A 


修好 ,请 注册 或 时 对 


”通过 Eaai1 地 址 ， 保 可 以 安全 、 阐 单 、 


1、 您 的 账户 名 
账户 名 : 
2、 设 置 登录 密码 


“ 晤 录 密 码 : 


"确认 登录 密码 。 
3、 设 置 支付 密码 


“支付 国友 : 


"确认 支付 密码: 
4、 设 置 安全 保护 问题 


“安全 保护 | 问题 : 
"您 的 答案 ， 


快 搁 的 进行 网 上 付 孝 和 收 教 - 


13911111111 


5、 填 写 您 的 个 人 信息 〈 请 如 实 填写 ， 天 则 将 无 法 正常 收 束 或 付款 ) 


用 户 类 型 : 


“真实 名 字 ， 
证 件 类 型 ， 
“证 件 号 码 : 
“手机 号 码 : 
联系 电话 ， 


(信息 提交 后 将 无 法 修改 ) 
@ 个 人 
以 个 人 姓名 开设 灵 付 通 账 尸 。 
O 公司 
以 营业 执照 上 的 公司 名 称 开设 支付 通 账 户 。 开 设 此 获 系 尸 双 须 独 有 公司 奖 当 的 根 行 账户 


志明 


320111111111111111 


3911111111 


图 6.29 填写 相关 信息 


(5) 输入 以 李 明 本 人 的 名 字 开 户 的 银行 账号 ,这 点 是 需要 注意 的 ,否则 提现 存在 风 
险 。 填 写 完毕 , 单 击 " 保 存 银行 账户 信息 ”按钮 ,如 图 6. 32 所 示 。 

(6) 设置 好 银行 账号 后 ,选择 “申请 提现 ?选项 卡 ,输入 提现 金额 以 及 支付 通 账户 的 支 
付 密码 , 单 击 “ 下 一 步 "按钮 ,如 图 6. 33 所 示 。 


(7) 确认 提现 银行 信 
现 申 请 成 功 ”。 
(8) 按照 上 述 的 步骤 


息 正确 无 误 后 . 单 击 “ 确 定 提现 ”按钮 。 这 样 ,系统 就 会 提示 “ 提 


: 李 明 、 王 军 和 张 玲 再 用 邮箱 申请 两 个 支付 通 账号 。 其 中 李 明 用 


手机 申请 的 账户 用 于 B2B、B2C、C2C 以 及 网 络 广告 交易 市 场 中 的 服务 商 。 


和 12 。 电子 支付 与 信息 安全 实践 教程 > 


| 给 二 账户 充值 给 本 账户 充值 


支付 通 账户 不 允许 从 事 无 
不 能 提现 . 


对 即时 到 账 交 易 付款 ， 支 付 通 账户 需 通 过 实名 认证 并 安装 数字 证 书后 才 可 以 正常 使 用 支付 通 账户 余额 支付 。 


背景 的 虚假 交易 ， 银 行 卡 转账 套现 或 洗钱 等 禁止 的 交易 行为 ， 否 则 充值 教 项 将 


填写 个 人 信息 


真实 姓名 ， 李 明 
支付 通 账户 ， 13911111111 


“ 迁 择 网 上 祖 和 ，6 @@ 


“充值 企 额 ，|10000 元 


图 6.30 向 支付 通 内 充值 


| WAZFTEN | 肘 户 查 词 充 住 J ARP 手机 服务 
二 申请 提现 : 
提现 记录 


| 
| 支付 通 账 户 不 允许 从 事 无 真实 交易 背景 的 盛 候 交易、 银行 卡特 账 套现 或 尘 钱 等 禁止 的 交易 行为 ， 否 则 充值 款项 将 不 能 提现 。 
设置 银行 账号 ”| 提现 记录 | | 申请 提现 


加 和 汪 没有 设置 银行 卡 吃 户 信息 ,请 先 | 疫 置 银行 旺 号 | 才能 进行 提现 . 


图 6.31 提现 
各 修改 银行 账户 信息 
开户 人 真实 姓名 : ” 李 明 
开户 银行 名 称 : [TT 
开户 银行 所 在 省 份 : ”[E 束 十 
开户 急行 所 在 城市 ， [二 而 
银行 账号 : 。|6555674551989645 
重量 三 :个 人 于 行 卫 户 的 开户 人 姓名 必须 与 “地 明 ”一 臻 ,个 人 由 行 几 号 必须 填写 正确 ,否则 你 的 提现 资 金 格 存 在 风险 
请 两 输 入 一 记 : ”6555674551989645 


图 6.32 输入 个 人 信 
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市 请 要 天 申请 提现 : 
-= | 雍和 际 户 不 焰 活 从 事 无 真实 六 明月 丸 的 具 避 人 易 、 计 行 卡特 你 套现 或 寺 色 竺 村 目的 交易 行为， 友信 要 项 村 不 此 扣 现 。 
设置 银行 耿 叶 提现 记录 | | 申请 提现 | 
| 
人 支 H 双 周 P 信 和 旷 银行 账号 信息 
不 媳 各 : 李 明 您 正在 将 支付 刘 行 对 的 开户 人 相 名 必须 与 -地 明 -一致 
去 付 表 账户: 1911111H1 睐 户 中 的 次 多 转 开户 要 行 名 称 : 中 国 工商 要 和 
a 本: [100 天 A 银行 时 号 :eesaseeresrg645 
当 亲 可 提现 去 鞠 : 10000 00 © We IfHD TE 
元 


NED: feeeeeeed | 


图 6.33 设 定 支付 密码 


下 面 以 李 明 刚 才 申 请 的 支付 通 账号 为 例 ,开通 一 下 商家 服务 。 

(1) 进入 李 明 的 支付 通 账户 , 单 击 “ 商 家 服务 "标签 ,选中 “网 站 集成 ZFT” 选 项 , 单 击 
“点 此 申请 ”按钮 。 然 后 填写 申请 信息 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 6. 34 所 示 。 在 弹出 的 对 
话 框 中 , 单 击 “ 同 意 协议 并 付款 ”按钮 。 


考 儒 通 站 xm EC ED] 
| srs TE wn ain 


Lowen 加 填写 中 请 信息 了 加 网 放 兴 议 并 付 蒜 防 占 入 成 ZFT 
第 1 步 ， 填 写 申请 信息 


请 仔细 写 下 列 信息 ，ZFT 工 作 人 员 格 第 一 时 间 与 雹 取得 联系 ， 
人 的 账户 岳 且 


真实 姓名 ， 子 明 
客户 类 型 ， 个 人 
证 件 号 码 ，320111HNNIN11 


账户 名 ，139111111 


十 写 联 系 人 信息 
“联系 人 : [车 明 


“电话 9 码 ， [i1111111 | 
“联系 地 址 ， 轩 训 果 生 大 学 
-部 9 码 ，[210000 


填写 站 


“网 站 名 称 ，| 珊 京 奥 系 


“网 站 地 址 ， [hitp JMnww aipasscom d] 

| 

“所 必 行 业 ，[FWAUEEE 了 了 辕 
"网 站 交易 题 , [0 上 国 年 


图 


人 
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(2) 申请 了 之 后 需要 支付 通 的 服务 商 审批 一 下 。 切 换 用 户 , 进 入 服务 商 平台 ,在 “ 商 
户 管理 ”中 开通 商家 服务 功能 , 单 击 “ 确 认 付 费 , 开 通 功能 "按钮 。 

(3) 回 到 李 明 的 支付 通 账户 ,再 次 选择 “商家 服务 ”选项 卡 , 可 以 看 到 一 个 交易 安全 校 
验 码 和 合作 者 身份 。 这 两 个 号 码 是 需要 备份 的 ,在 B2B、B2C、C2C 以 及 网 络 广告 交易 市 
场 实 验 中 将 会 用 到 。 

7. 思考 题 

怎么 实现 支付 通 的 充值 ? 


第 生意 


电子 商务 环境 搭建 与 营销 支付 篇 


7.1 引言 


随 着 电子 商务 的 蓬勃 发 展 , 网 上 商店 对 于 网 民 来 说 已 经 不 再 是 一 个 陌生 的 字眼 ,大 
多 数 网 民 张 口 便 能 说 出 一 大 串 购物 网 站 的 名 称 , 诸 如 8848 网 站 和 易趣 .淘宝 网 等 ,还 有 
新 浪 、. 搜 狐 的 网 上 商城 ,亚马逊 .卓越 ,当当 等 网 上 超市 ,各 购物 网 站 所 销售 的 商品 既 有 保 
品 、 日 用 品 ,书籍 .音像 制品 ,文具 等 小 商品 .也 有 音响 .照相 机 、 手 机、 洗衣 机 等 大 件 
品 。 
电子 商务 营销 是 网 上 营销 的 一 种 ,是 借助 于 因特网 完成 一 系列 营销 环节 ,达到 营销 
目标 的 过 程 。 我 们 知道 ,网 络 具 有 快速 .高 效 、 低 成 本 的 特点 ,在 因特网 上 信息 资源 共享 ， 
进入 障碍 为 零 。 作 为 一 种 新 的 媒体 ,网 络 具 有 一 对 一 的 互动 特性 ,这 是 对 传统 媒体 面 对 
大 量 “ 受 众 ” 特 征 的 突破 。 从 营销 的 角度 讲 , 网 络 上 生产 者 和 消费 者 一 对 一 的 互动 沟通 ， 
了 人 解 顾客 的 要 求 、 愿 望 及 改进 意见 ,将 工业 时 代 大 规模 生产 、 大 规模 营销 改进 为 小 群体 其 
至 个 体 营销 ,为 消费 者 提供 了 极 大 的 满足 ,迎合 了 现代 营销 观念 的 宗旨 。 


7.2 电子 商务 的 环境 

同 自然 界 的 其 他 任何 系统 一 样 ,电子 商务 系统 的 顺畅 运行 也 有 其 赖 以 生存 的 支撑 环 
境 ,主要 包括 电子 商务 的 支付 环境 、 物 流 环境 和 信用 环境 等。 

7.2.1 电子 商务 的 支付 环境 


随 着 网 上 电子 交易 业务 量 的 增加 ,支付 问题 日 益 突出 ,如 何 处 理 不 同 范围 内 的 大 宗 
交易 ,成 为 电子 商务 活动 的 关键 ,而 答案 是 唯一 的 , 即 利用 电子 支付 。 


We 
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电子 支付 是 电子 商务 活动 的 关键 环节 ,是 电子 商务 能 够 顺利 发 展 的 基础 条 件 。 对 于 
商家 来 说 ,如 果 缺 乏 良 好 的 网 上 电子 支付 环境 ,电子 商务 高 效率 、 低 成 本 的 优势 就 难以 发 
挥 , 只 能 是 网 上 订货 、 网 下 支付 ,实现 的 是 较 低层 次 的 商务 应 用 ,从 而 使 电子 商务 的 应 用 
与 发 展 受到 极 大 的 阻碍 。 因 此 ,提供 安全 、 高 效 、 快 捷 的 网 上 金融 服务 就 成 为 整个 电子 商 
务 交 易 过 程 中 最 重要 的 环节 。 

但 由 于 电子 支付 是 通过 开放 的 Internet 来 实现 的 ,支付 信息 很 容易 受到 黑客 的 攻击 
和 破坏 ,这 些 信 息 的 泄露 和 受 损 直接 威胁 到 企业 和 用 户 的 切身 利益 ,所 以 安全 性 一 直 是 
电子 支付 实现 所 要 考虑 的 最 重要 的 问题 之 一 。 


7.2.2 电子 商务 的 物流 环境 


随 着 电子 商务 时 代 的 到 来 ,企业 销售 范围 不 断 扩 大 ,企业 和 商业 销售 方式 及 最 终 消 
费 者 购买 方式 的 转变 ,使 得 送 货 上 门 等 业务 成 为 一 项 极为 重要 的 服务 业务 ,这 些 极 大 地 
促进 了 物流 行业 的 兴起 。 

物流 是 指 物质 实体 (商品 或 服务 ) 的 流动 过 程 , 具 体 指 运输 、 储 存 . 配 送 、. 装 卸 、 保 管 、 
物流 信息 管理 等 各 种 活动 。 对 于 少数 商品 和 服务 来 说 ,可 以 直接 通过 网 络 传输 的 方式 进 
行 配送 ,如 各 种 电子 出 版 物 、 信 息 咨 询 服务 \ 有 价 信息 软件 等 。 而 对 于 大 多 数 商 品 和 服务 
来 说 物流 仍 要 经 由 物理 方式 传输 ,但 由 于 一 系列 机 械 化 .自动 化 工具 的 应 用 ,准确 、 及 时 
的 物流 信息 对 物流 过 程 的 监控 ,将 使 物流 的 速度 加 快 、 准 确 率 提高 ,能 有 效 地 减少 库存 ， 
缩短 生产 周期 。 

在 这 一 发 展 过 程 中 ,物流 不 仅 已 成 为 有 形 商品 网 上 商务 的 一 个 障碍 ,而 且 也 已 成 为 
有 形 商品 网 上 商务 活动 能 否 顺 利 进行 和 发 展 的 一 个 关键 因素 。 因 为 电子 商务 优势 的 发 
挥 需 要 有 一 个 与 电子 商务 相 适应 的 ,高 效 、 合 理 、 畅 通 的 物流 系统 ,否则 电子 商务 就 难以 
得 到 有 效 的 发 展 。 


7.2.3 电子 商务 的 信用 环境 


传统 商务 和 电子 商务 的 运作 过 程 中 ,商贸 交易 过 程 的 实务 操作 步骤 是 相同 的 ,但 交 
易 具 体 使 用 的 运作 方法 是 不 同 的 。 在 电子 商务 条 件 下 ,商务 活动 是 通过 网 络 进行 的 , 买 
卖 双方 在 网 上 沟通 ,签订 电子 合同 、 使 用 数字 签名 和 电子 支付 等 ,这 完全 改变 了 传统 商务 
模式 下 面对面 的 交易 方式 ,因此 商业 信用 体系 的 建立 对 电子 商务 来 说 就 显得 更 加 重要 。 
它 不 是 仅 依 靠 交 易 双 方 单方 面 的 努力 就 能 解决 的 ,电子 商务 信用 环境 的 建立 是 一 个 综合 
性 的 任务 ,这 当中 既 有 公民 道德 素质 的 提高 和 意识 觉醒 问题 ,也 有 技术 问题 和 法 律 问题 ， 
同时 信用 环境 的 建立 还 有 待 时 间 让 电子 商务 系统 各 个 角色 逐渐 习惯 和 适应 。 要 解决 这 
些 问题 ,首先 ,需要 社会 各 方面 的 大 力 引导 .创建 一 个 具有 良好 信用 意识 的 社会 环境 ; 其 
次 ,建立 和 完善 电子 商务 认证 中 心 , 这 是 改善 电子 商务 信用 环境 最 基本 的 技术 手段 ,是 电 
子 商务 活动 正常 进行 的 必要 保障 ; 再 次 ,制定 相关 法 律 和 制度 ,规范 电子 商务 的 交易 行 
为 ,保障 电子 商务 活动 的 正常 进行 ; 最 后 ,建立 社会 信用 评价 制度 和 体系 ,为 电子 商务 交 
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易 提 供 资信 服务 。 

电子 商务 系统 的 支撑 环境 除了 以 上 提 到 的 三 种 之 外 ,还 和 许多 因素 有 关 , 如 计算 机 
的 普及 程度 和 上 网 率 、. 企 业 领导 对 电子 商务 运作 的 重视 程度 及 职工 素质 等 。2005 年 国家 
发 改 委 开展 了 电子 商务 支撑 环境 项 目 试点 工作 ,目的 是 进一步 推动 骨干 企业 电子 商务 建 
设 , 鼓 励 骨干 企业 优化 业务 流程 和 组 织 结构 。 


7.3 电子 商务 环境 下 的 新 型 网 络 营销 


7.3.1 网 络 营销 优势 


1. 企业 对 顾客 需求 反应 能 力 提高 

企业 通过 电子 商务 平台 拓展 对 顾客 需求 的 反应 方式 和 途径 。 传 统 反 应 方式 多 以 事 
后 回应 为 主 , 即 等 顾客 需求 真实 发 生 并 将 信息 传递 到 公司 总 部 后 ,市场 部 才 做 出 回应 , 相 
关 措 施 再 按 原 信 息 流 逆向 传递 , 层 层 分 派 。 速 度 慢 ,限制 了 企业 对 顾客 需求 的 反应 能 力 。 
电子 商务 为 企业 提供 了 更 宽泛 的 服务 平台 ,在 顾客 与 企业 间 构 建 出 广泛 的 沟通 渠道 。 企 
业 可 以 通过 前 期 的 信息 收集 和 数据 分 析 , 直 接 将 产品 和 服务 信息 提前 传递 给 顾客 ; 通过 
引导 消费 的 方式 , 先 于 顾客 发 现 需求 ; 通过 设立 网 上 商店 ,记录 顾客 消费 和 需求 信息 ; 开 
通 网 络 论坛 ,提供 在 线 服务 等 多 种 互动 方式 ,将 过 去 的 被 动 回应 改 为 主动 响应 ,持续 向 全 
球 顾客 提供 高 质量 产品 和 服务 ,提高 了 对 顾客 需求 的 反应 速度 和 效率 。 

2. 企业 与 顾客 关系 更 密切 

网 络 强大 的 通信 能 力 和 电子 商务 系统 便利 的 商品 交易 环境 ,缩短 了 企业 与 消费 者 之 
间 的 实际 距离 ,促使 营销 者 和 消费 者 的 沟通 方式 发 生变 化 ,消费 者 可 以 亲自 参与 到 产品 
设计 ,生产 ,评测 环节 中 ,成 为 企业 经 营 全 过 程 中 重要 的 、 积 极 的 参与 者 。 网 络 环境 下 , 通 
过 电子 商务 手段 ,企业 将 信息 以 多 媒体 方式 在 网 上 传播 ,并 以 智能 搜索 和 查询 的 方式 , 方 
便 消费 者 主动 在 网 络 上 搜索 ,消费 者 可 以 了 解 更 多 商品 与 服务 信息 ,企业 直接 面 对 消 费 
者 ,和 消费 者 进行 沟通 交流 .共同 创造 新 的 市 场 需求 。 麦当劳 曾 在 上 海 1 个 月 共 发 出 15 
万 条 手机 短信 ,短信 只 针对 目标 客户 ,在 正确 的 地 方 、 合 适 的 时 间 场 合 ,效果 非常 好 ,对 这 
种 短信 促销 的 回应 率 有 12%, 比 之 传统 直接 促销 手段 (回应 率 只 有 1 办 一 5%) 有 很 大 提 
高 。 这 是 麦当劳 最 有 效 ,最 成 功 的 营销 活动 之 一 ,为 其 获得 了 新 的 消费 者 。 

3. 企业 的 竞争 优势 增加 

网 络 营销 能 够 将 产品 说 明 、 促 销 、 顾 客 意见 调查 .广告 公共 关系 、 顾 客服 务 等 各 种 营 
销 活 动 整合 ,进行 一 对 一 沟通 ,不 受 地 域 限制 ,结合 文字 声音、 影像 .图 片 及 视讯 ,用 动态 
方式 展现 ,并 能 轻易 迅速 地 更 新 资料 ,同时 消费 者 也 可 重复 上 线 浏览 查询 。 结 合 问卷 、 网 
络 、 资 料 库 , 以 最 新 .最 快 .最 详尽 的 方式 获得 顾客 信息 ,通过 网 络 互动 的 资料 修订 与 智慧 
型 的 统计 分 析 功能 ,掌握 大 量 主要 顾客 与 潜在 顾客 的 完整 资料 。 综 合 这 些 功能 ,相当 于 
创造 了 无 数 的 经 销 商 与 业务 代表 ,不 需 付 房租 ,不 需 付 薪水 ,节省 了 和 营销 渠道 成 本 ,使 企 
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业 获 得 低 成 本 的 竞争 优势 。 
7.3.2 网 络 营销 策略 


网 络 营销 策略 包括 以 下 几 种 : 

(1) 扩大 产品 线 规模 。 不 局 限于 主要 产品 ,而 依据 拥有 的 资料 ,主动 分 析 消 费 需 求 与 
欲望 ,开发 多 种 类 型 产品 ,增加 购买 规模 。 

(2) 强化 顾客 关系 。 加 强 与 顾客 的 双向 互动 ,分 析 顾 客 资料 ,设法 掌握 更 多 顾客 特 
性 ,开发 出 更 多 产品 适应 顾客 需求 。 

(3) 营销 渠道 多 元 化 。 将 传统 营销 与 包括 网 络 等 新 型 渠道 紧密 结合 ,以 建立 最 大 的 
顾客 接触 ,扩大 市 场 占有 率 。 

(4) 消费 需求 准确 化 。 分 析 归 纳 顾客 资料 ,更 准确 地 定位 目标 市 场 ,做 出 有 效 的 市 场 
促销 。 再 利用 多 彩 的 网 络 多 媒体 功能 ,给 新 上 网 的 顾客 留 下 深刻 印象 ,增加 市 场 顾客 规 
模 ,扩大 网 络 营 销 效益 。 


7.3.3 电子 商务 营销 中 的 4C 


当前 ,第 三 产业 中 服务 业 的 发 展 是 主要 经 济 增长 点 ,新 型 服务 业 如 人 金融, 通信、 交通 
等 产业 如 日 中 天 。 社 会 要 求 企业 发 展 必须 以 服务 为 主 , 以 顾客 为 中 心 ,为 顾客 提供 适时 、 
适 地 、 适 情 的 服务 ,最 大 程度 上 满足 顾客 需求 。 互 联网 络 作 为 跨 时 空 传输 的 “超导体 ” 媒 
体 ,可 为 顾客 提供 及 时 服务 ,同时 网 络 的 交互 性 可 以 了 解 顾客 需求 ,提供 针对 性 响应 , 利 
用 互联 网 络 ,传统 4P( 产 品 / 服 务 、 价 格 、 分 销 \ 促 销 ) 营 销 组 合 可 以 更 好 地 与 以 顾客 为 中 心 
的 4C( 顾 客 .成 本 方便 沟通 ) 相 结合 。 

1. 产品 和 服务 以 顾客 为 中 心 

互联 网 络 起 源 于 1969 年 ,美国 西海 岸 四 所 大 学 和 研究 所 将 主 计算 机 以 50Kbps 的 线 
路 连接 起 来 ,架设 了 一 个 小 型 通信 网 络 , 称 为 ARPANET。 到 了 1974 年 ,ARPANET 已 
拥有 100 个 结 点 的 网 络 ,再 成 长 形成 今天 的 数 以 百 万 计 网 点 规模 的 全 球 互联 网 络 。 

由 于 互联 网 络 具有 很 好 的 互动 性 和 引导 性 ,用 户 通 过 互联 网 络 在 企业 的 引导 下 对 产 
品 或 服务 进行 选择 或 提出 具体 要 求 , 企 业 可 以 根据 顾客 的 选择 和 要 求 及 时 生产 并 提供 及 
时 服务 ,使 得 顾客 跨 时 空 得 到 满足 要 求 的 产品 和 服务 ; 另 一 方面 ,企业 还 可 以 及 时 了 解 顾 
客 需 求 , 根 据 顾客 要 求 组 织 生 产 和 销售 ,提高 企业 生产 效益 和 营销 效率 。 

2. 以 顾客 能 接受 的 成 本 定价 

传统 的 以 生产 成 本 为 基准 的 定价 在 现代 市 场 营 销 中 必 将 被 按 弃 ,新 型 价格 以 顾客 能 
接受 的 成 本 定价 ,依据 该 成 本 组 织 生产 和 销售 。 企 业 以 顾客 为 中 心 定价 ,测定 市 场 中 顾 
客 的 需求 及 对 价格 认同 的 标准 ,顾客 通过 互联 网 提出 接受 的 成 本 ,企业 根据 顾客 的 成 本 
提供 柔性 的 产品 设计 和 生产 方案 供用 户 选 择 , 直 到 顾客 认同 后 再 组 织 生产 和 销售 ,所 有 
这 一 切 都 是 顾客 在 公司 的 服务 器 程序 导 引 下 完成 ,不 需要 专门 的 服务 人 员 ,成 本 极 低廉 。 
例如 ,美国 通用 汽车 公司 允许 顾客 在 互联 网 上 通过 公司 的 有 关 导 引 系 统 ,自己 设计 和 组 
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装 满足 需要 的 汽车 ,用 户 首先 确定 接受 的 价格 标准 ,系统 根据 价格 限定 显示 满足 要 求 样 
式 的 汽车 ,用 户 可 以 适当 修改 ,公司 最 终生 产 的 产品 恰 能 满足 顾客 对 价格 和 性 能 的 要 求 。 

3. 压迫 式 促销 转向 加 强 与 顾客 的 联系 沟通 

传统 促销 是 企业 为 主体 ,通过 一 定 的 媒体 或 工具 对 顾客 进行 压迫 式 的 销售 ,以 加 强 
顾客 对 公司 和 产品 的 接受 度 和 忠诚 度 ,顾客 是 被 动 接 受 的 ,缺乏 沟通 和 联系 ,公司 促销 成 
本 很 高 。 互 联网 络 上 营销 是 一 对 一 和 交互 式 的 ,顾客 可 以 参与 到 公司 的 营销 活动 中 , 互 
联网 更 能 加 强 与 顾客 的 沟通 和 联系 ,更 了 解 顾客 需求 ,更 易 引 起 顾客 认同 。 例 如 ,美国 的 
雅虎 (Yahoo) 公 司 开发 了 能 在 互联 网 络 上 对 信息 分 类 检索 的 工具 ,由 于 该 产品 具有 很 强 
的 交互 性 ,用 户 可 以 将 自己 认为 重要 的 分 类 信息 提供 给 雅虎 公司 ,雅虎 公司 马上 将 该 分 
类 信息 加 入 产品 中 供 其 他 用 户 使 用 ,不 用 宣传 其 产品 就 广为人知 , 短 短 两 年 公司 股票 市 
场 价值 增长 几 百倍 。 

4. 企业 可 实现 低 成 本 跨国 营销 

在 经 济 全 球 化 条 件 下 ,企业 要 获得 全 球 优势 ,必须 在 全 球 范围 内 配置 资源 ,充分 考虑 
成 本 自然 资源 ,法律 竞争 .销售 等 多 种 影响 基础 上 ,做 出 科学 的 营销 决策 ,占领 国际 、 国 
内 两 个 市 场 。 特 别 是 实力 雄厚 的 跨国 公司 ,早已 把 全 球 市 场 置 于 自己 的 营销 范围 内 ,以 
一 种 全 球 营销 观念 来 指导 公司 的 营销 活动 。 例 如 ,可 口 可 乐 公司 在 世界 几 十 个 国家 布 有 
生产 据点 ,100 多 个 国家 拥有 市 场 ,成 为 一 个 总 部 设 在 美国 的 全 球 公司 。 电 子 商 务 的 应 用 
使 企业 能 够 在 短 时 间 内 对 收集 到 的 信息 进行 横向 比较 和 纵向 分 析 , 实 现 企业 全 球 资源 低 
成 本 调配 整合 .“ 遍 布 全 球 的 互联 网 络 为 跨国 公司 在 全 球 范围 内 传播 和 提高 品牌 形象 创 
造 了 优越 的 技术 条 件 。 在 互联 网 上 做 广告 可 以 在 瞬间 以 极 低 的 运营 成 本 和 直通 个 人 的 
特点 将 品牌 信息 准确 无 误 地 发 送 给 事先 设计 好 的 群体 ,这 无 疑 可 以 增强 全 球 客户 的 品 
认 知 和 偏好 ,使 品牌 形象 信息 能 够 以 最 快 的 速度 在 最 大 的 范围 内 得 以 传播 .这 种 品牌 传 
播 的 有 效 性 有 利于 提高 企业 美誉 度 , 获 得 品牌 忠诚 。 总 之 , 随 着 全 球 经 济 一 体 化 进程 加 
快 ,计算 机 、 通 信 、 网 络 等 技术 广泛 应 用 ,人 类 社会 将 从 过 去 工业 经 济 时 代 进 入 到 电子 商 
务 时 代 。 电 子 商务 代表 未 来 商务 发 展 方向 ,也 代表 了 网 络 时 代 新 型 企业 营销 模式 。 不 仅 
使 企业 营销 成 本 降低 ,增强 企业 的 核心 竞争 力 , 使 之 立 于 不 败 之 地 ,更 重要 的 是 使 广大 消 
费 者 受益 。 未 来 是 信息 世纪 、 网 络 世纪 ,人 员 营 销 、 广 告 促销 ,经销 代 理 等 传统 营销 手法 
将 与 网 络 营 销 相 结合 ,形成 以 最 低 成 本 投入 获得 最 大 市 场 量 的 新 型 营销 模式 。 


7.4 电子 支付 


7.4.1 电子 商务 与 网 上 支付 的 关系 


电子 商务 是 指 通 过 计算 机 和 网 络 来 完成 商品 的 交易 ,结算 等 一 系列 商业 活动 过 程 的 
一 种 方式 ,其 内 容 包括 信息 流 、 资 金 流 和 物流 。 信 息 流 和 资金 流 直接 以 因特网 为 基础 ,应 
该 说 信息 流 和 物流 比较 容易 实现 ,而 资金 流 即 网 上 支付 实现 起 来 却 比较 复杂 ,所 以 人 们 
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在 谈 及 电子 商务 时 ,往往 把 网 上 支付 手段 作为 衡量 是 否 真 正 实现 电子 商务 的 标志 。 电 子 
商务 其 核心 问题 是 如 何 确 保 网 络 交易 中 的 电子 支付 的 有 效 性 和 安全 性 。 网 上 支付 是 指 
以 计算 机 及 网 络 为 手段 ,将 负载 有 特定 信息 的 电子 数据 取代 传统 的 支付 工具 用 于 资金 流 
转 , 并 具有 实时 支付 效力 的 支付 方式 。 网 上 支付 作为 新 的 网 络 交易 支付 方式 , 它 的 应 
和 发 展 给 传统 支付 模式 带 来 了 很 大 的 冲击 和 挑战 。 

当 分 析 这 种 支付 模式 的 特征 时 ,不 难 发 现 由 事物 本 质 属 性 影射 出 其 潜藏 的 不 安全 因 
素 。 网 上 支付 是 采用 先进 的 技术 通过 数字 流转 来 完成 信息 传输 的 ,其 各 种 支付 方式 都 是 
采用 数字 化 的 方式 进行 款项 支付 的 ,于 是 人 们 就 开始 质疑 信息 数字 化 后 数据 传输 过 程 中 
信息 丢失 ,重复 、 错 序 、. 自 改 等 安全 性 问题 ; 网 上 支付 的 工作 环境 是 基于 一 个 开放 的 系统 
平台 之 中 ,交易 双方 的 身份 置 于 虚拟 世界 中 ,这 无 疑 增加 了 电子 支付 的 风险 ; 网 上 支付 使 
用 的 是 最 先进 的 通信 手段 ,对 软 、 硬 件 设施 的 要 求 很 高 ,技术 软件 不 成 熟 就 为 黑客 等 不 法 
分 子 提供 了 可 乘 之 机 ,所 以 ,研制 出 一 套 无 懈 可 击 的 互联 网 支付 系统 成 为 制约 电子 商务 
发 展 的 瓶颈 。 


7.4.2 我 国 网 上 支付 的 工具 


我 国 网 上 支付 的 工具 有 以 下 几 种 : 

(1) 银行 卡 在 线 转账 支付 。 银 行 卡 在 线 转账 支付 是 目前 我 国 应 用 非常 普遍 的 电子 支 
付 模式 ,付款 人 可 以 使 用 申请 了 在 线 转账 功能 的 银行 转账 小 金额 资金 到 收 款 人 的 银行 账 
Pubs 

(2) 电子 现金 。 电 子 现金 是 以 数据 形式 存在 的 现金 货币 。 它 把 现金 数值 转化 为 一 系 
列 的 加 密 序 列 数 ,来 表示 现实 中 各 种 金额 的 币值 。 

(3) 第 三 方 支付 平台 。 这 种 形式 的 支付 过 程 是 买 家 在 网 上 把 钱 付 给 支付 宝 公司 , 支 
付 宝 收 到 货款 之 后 通知 卖家 发 货 , 买 家 收 到 货物 之 后 再 通知 支付 宝 , 支 付 宝 这 时 才 把 钱 
转 到 卖家 的 账户 上 。 此 平台 是 我 国 现在 比较 成 熟 的 电子 商务 交易 平台 。 


7.4.3 电子 支付 安全 协议 


如 何 通过 电子 支付 安全 地 完成 整个 交易 过 程 , 又 是 人 们 在 选择 网 上 交易 时 所 必须 面 
对 的 ,而 且 是 首先 要 考虑 的 问题 。 就 目前 而 言 , 虽 然 电子 支付 安全 问题 还 没有 形成 一 
公认 的 、 成 熟 的 解决 办 法 ,但 人 们 还 是 不 断 通 过 各 种 途径 进行 大 量 探索 ,SSL 安全 协议 和 
SET 安全 协议 就 是 这 种 探索 的 两 个 重要 结果 ,它们 已 经 广泛 在 国际 间 的 电子 支付 中 
使 用 。 

1. SSL 安全 协议 

SSL 安全 协议 最 初 是 由 NetscapeCommunication 公司 设计 开发 的 ,又 称 为 安全 套 接 
层 (Secure Sockets Layer) 协 议 .主要 用 于 提高 应 用 程序 之 间 的 数据 的 安全 系数 。SSL 协 
议 的 整个 概念 可 以 被 总 结 为 : 一 个 保证 任何 安装 了 安全 套 接 字 的 客户 和 服务 器 间 事 务 
安全 的 协议 , 它 涉 及 了 所 有 TCP/IP 应 用 程序 。 在 电子 商务 交易 过 程 中 ,由 于 有 银行 参 
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与 ,按照 SSL 协议 ,客户 购买 的 信息 首先 发 往 商 家 ,商家 再 将 信息 转发 银行 ,银行 验证 
客户 信息 的 合法 性 后 ,通知 商家 付款 成 功 , 商 家 再 通知 客户 购买 成 功 , 将 商品 寄 送 
客户 。 

2. SET 安全 协议 

在 开放 的 因特网 上 处 理 电子 商务 ,如何 保证 买卖 双方 传输 数据 的 安全 成 为 电子 商务 
能 和 否 普及 的 最 重要 的 问题 。 为 了 克服 SSL 安全 协议 的 缺点 ,Visa 和 Master-Card 两 大 信 
用 卡 组 织 , 联 合 开发 了 SET 电子 商务 交易 安全 协议 。 这 是 一 个 为 了 在 因特网 上 进行 在 
线 交 易 而 设立 的 一 个 开放 的 、 以 电子 货币 为 基础 的 电子 付款 系统 规范 。SET 在 保留 对 客 
户 信 用 卡 认证 的 前 提 下 ,又 增加 了 对 商家 身份 的 认证 ,这 对 于 需要 支付 货币 的 交易 来 讲 
是 至 关 重 要 的 。 由 于 设计 合理 , SET 协议 得 到 了 IBM、 HP、Microsoft、 Netscape、 
VeriFone、GTE、VeriSign 等 许多 大 公司 的 支持 ,已 成 为 事实 上 的 工业 标准 。 目 前 , 它 已 
获得 IETF 标准 的 认可 。 安 全 电子 交易 是 基于 因特网 的 卡 基 支付 ,是 授权 业务 信息 传输 
的 安全 标准 , 它 采 用 RSA 公开 密 钥 体系 对 通信 双方 进行 认证 ,利用 DES、RC4 或 任何 标 
准 对 称 加 密 方法 进行 信息 的 加 密 传输 ,并 用 Hash 算法 来 鉴别 消息 真 伪 , 有 无 涂改 。 在 
SET 体系 中 有 一 个 关键 的 认证 机 构 (CA) ,CA 根据 X. 509 标准 发 布 和 管理 证 书 。 


实验 11 域名 服务 


一 、 实 验 目的 

掌握 电子 商务 的 域名 设置 。 

二 、 实 验 原理 

DNS 是 域名 系统 (Domain Name System) ,是 一 种 组 织 域 层 次 结构 的 计算 机 和 网 络 
服务 命名 系统 。 它 在 本 地 负责 控制 整个 分 布 式 数据 库 的 部 分 段 , 每 一 段 中 的 数据 通过 客 
户 / 服 务 器 模式 在 整个 网 络 上 均 可 存 取 ,通过 采用 复制 技术 和 缓存 技术 使 得 整个 数据 库 
可 靠 的 同时 ,又 拥有 良好 的 性 能 。 当 用 户 在 应 用 程序 中 输入 DNS 名 称 时 ,DNS 服务 可 以 
将 此 名 称 解析 为 与 此 名 称 相关 的 IP 地 址 信息 。 

三 、 实 验 内 容 

南京 奥 派 科技 是 一 家 提供 域名 和 主机 服务 的 公司 ,近期 该 公司 在 网 上 发 布 了 一 些 关 
于 域名 和 主机 的 信息 。 李 明 看 到 此 信息 之 后 ,通过 比较 ,购买 了 他 们 的 域名 和 主机 ,事后 
并 对 购买 的 域名 和 主机 进行 管理 。 

四 、 实 验 步 又 

1. 发 布 域名 和 主机 信息 

服务 商 ( 南 京 奥 派 科技 ) 绑 定 银行 账号 ,维护 域名 类 别 :发布 域 名 信息 、 主 机 信息 以 及 
促销 信息 。 另 外 ,还 要 发 布 新 闻 、 客 户 案例 和 联系 方式 。 

(1) 选择 “网 络 营 销 实践 "模块 .选择 “域名 服务 选项, 单 击 * 服 务 商 平台 ”后 面 的 “ 进 
入 ”按钮 ,进入 服务 商 平台 。 
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(2) 单 击 “ 支 付 管理 ?标签 ,进入 银行 账户 绑 定 界面 ,输入 正确 的 服务 商 银行 账户 (这 
里 的 账号 是 在 电子 支付 实践 中 所 申请 的 企业 账号 ) , 单 击 “提交 ”按钮 , 则 服务 商 绑 定 银 行 
账号 成 功 , 如 图 7.1 所 示 。 

产品 中 心 业务 中 心 财务 中 心 新 闻 中 必 用 户 管理 支付 管理 

支付 管理 银行 账户 管理 

本 者 行 名 称 : | [工商 。“””” 辐 
所 在 银行 商户 篇 号 [*]: | |6 

Samy | | 

银行 帐号 [*]: | |6555671014695822 


提醒 ;|[ 良 行 账户 需要 开通 企业 付款 通道 功能 ] 如 何 开通 企业 付款 通道 功能 ? 


[要 ] LC 王 |] 


图 7.1 银行 账户 绑 定 
(3) 服务 商 发 布 域名 信息 。 首 先 服务 商 要 添加 域名 类 别 ,在 "产品 中 心 ?选项 卡 中 ， 
单 击 左 框 中 的 “域名 类 别 维护 ”, 在 右 框 架 中 显示 域名 类 型 管理 界面 , 单 击 “ 添 加 ”按钮 ， 
输入 所 要 添加 的 域名 类 别 和 描述 , 单 击 “保存 ”按钮 , 则 域名 类 别 添 加 成 功 ,如 图 7.2 
所 示 。 


产品 中 心 。 ”业务 中 心 。 ”财务 中 心 新 闻 中 心 。 ”用 户 管理 支付 管理 


产品 中 心 产品 中 心 > > 域名 发 布 >> 茂名 类 型 维护 
aaa 城 名 类 型 发 布 表单 : 
域名 类 型 维护 » 
主机 发 布 域名 类 型 : ‘Com 
促销 产品 描述 : :com 用 于 “Company” 公 司 


( 匡 可 ) 


图 7.2 添加 域名 


(4) 在 “产品 中 心 ”选项 卡 中 , 单 击 左 框 中 的 “域名 发 布 ”, 在 右 框 架 中 显示 域名 类 型 管 
理 界面 , 单 击 “ 添 加 "按钮 ,进行 新 的 域名 发 布 ,域名 信息 设置 成 功 之 后 , 单 击 “ 发 布 ”按钮 ， 
发 布 该 域名 ,如 图 7.3 所 示 。 

(5) 服务 商 发 布 主机 信息 。 在 “产品 中 心 ”选项 卡 中 , 单 击 左 框 中 的 “主机 发 布 ”, 在 右 
框架 中 显示 主机 管理 界面 , 单 击 “添加 ?按钮 ,进行 主机 发 布设 置 ,主机 信息 设置 成 功 之 
后 , 单 击 “ 发 布 " 按 钮 ,发 布 该 主机 ,如 图 7.4 所 示 。 

(6) 服务 商 发 布 新 闻 、 客 户 案例 \ 设 置 联系 方式 。 在 “新 闻 中 心 ”选项 卡 中 ,进行 新 闻 
管理 , 单 击 左 框架 中 的 “新 闻 发 布 ”, 在 右 框 架 中 显示 新 闻 管理 界面 , 单 击 “ 添 加 ”按钮 , 进 
行 新 闻 发 布 ,如 图 7.5 所 示 。 
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产品 中 心 。 业务 中 心 。 则 务 中 心 。 新 闻 中 心 用户 管理 “支付 管理 
六 曲 中 心 产品 中 心 > > 戴 名 发 布 

”域名 发 布 表单 : 

域名 类 型 维护 

主机 发 布 域名 服务 [*] : 虞 名 腿 务 1 

促销 产品 域名 类 型 [*] : 选择 .com; 
举例 说 明 [*] : [www.qq.com 
是 否 推荐 : 加 
是 否 促销 碟 促销 价格 ，[50 元 /1 年 

| 域名 价格 [*] : 俊 置 ”100 元 /1 年 ;15J 元 /2 年 ;200 元 /3 年 ;250 元 /4 年 ;300 元 /5 年 ; 
于 
和 

域名 图 片 : 0 多 万 


产品 中 心 业务 中 必 。。 则 务 中 心 。 新闻 中 心 


图 7.3 域名 发 布 


(7) 在 “ 


产品 中 心 >> 主 机 发 布 


发 布 主机 
» 

Ea Em 

主机 价格 ["] : ji 谭 ”250 元 /1 年 ;300 元 /2 年 ;350 元 /3 年 ;400 元 /4 年 ;450 元 /4 年 ; 

| 局 放 实 癌 ( 昌 位 MJ"] E345 

功 隐 涪 明 : ee 

= 扣 多 为 100 字 

是 否 推荐 厅 是 否 挫 荐 

| 是 否 促销 万 是 否 砚 员 

促销 价 (一 年) Boo 

选择 网 片 名 

主机 功能 
图 7.4 主机 发 布 


新 闻 中 心 ”选项 卡 中 , 单 击 左 框 架 中 的 “客户 案例 ”, 在 右 框 架 中 显示 客户 案例 


加 ”按钮 ,发布 新 的 客户 案例 ,如 图 7.6 所 示 。 


(8) 在 “新 闻 中 心 ” 选 项 卡 中 , 单 击 左 框架 中 的 “客户 联系 方式 ”, 在 右 框 架 中 编辑 客户 


联系 方式 , 单 击 “ 保 存 ” 按 钮 即 可 。 
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产品 中 心 。 业务 中 心 。 财务 中 心 。。 新闻 中 心 ”用 户 千 理 。。” 夹 村 管理 


客户 联系 式 主题 : ED 
Ex| 和 E 三 | 电 昌 | 回 
中 新 网 5 月 3 日 电 需 法 新 社 损 道 ， 素 马里 海盗 日 前 又 支持 了 一 赵 巴 基 斯 坦 沉 船 。 


| 这 名 为 素 马里 商人 运送 物资 的 巴基斯坦 货 角 在 距 素 马里 首 那 摩 加 过 诊 100 公 里 处 被 支持 
内 容 : 


新 闻 关 型 : 新闻 中 心 


” 【本 


图 7.5 新 闻 发 布 
业务 中 心 则 务 中 心 矣 闻 中 心 用 户 管理 克 灶 管理 
新 闻 中 茂名 申请 > > 新 闻 中 心 > > 客户 案例 管理 

We 添加 客户 案例 : 

客户 案例 上 

客户 联系 方式 案例 域名 : lwww.allpass.com.cn 如: allpass.cn 

案例 类 玉 : 最 多 为 50 字 
| 案例 图 片 


匡 到 ] 匡 到 
图 7.6 案例 发 布 


2. 域名 和 主机 管理 

注册 会 员 李 明 ,购买 域名 和 主机 ,并 对 已 购买 的 域名 和 主机 进行 管理 。 同 时 ,也 可 以 
向 服务 商 申请 发 票 ,并 发 送 提问 。 另 一 方面 ,服务 商 进行 会 员 管理 ,域名 业务 管理 ,域名 
解析 、 主 机 业务 管理 ,并 对 发 票 进行 审批 ,回答 会 员 的 提问 。 

(1) 注册 会 员 。 单 击 “ 域 名 服务 平台 ”后 面 的 “进入 ”按钮 ,进入 域名 服务 平台 界面 。 
然后 单 击 界面 右上 方 的 “注册 ”按钮 ,进入 用 户 注册 界面 。 

(2) 在 用 户 注册 界面 ,填写 注册 信息 、 个 人 资料 、 联 系 方法 和 附加 信息 等 内 容 , 填 写 完 
成 之 后 , 单 击 “ 注 册 ” 按 钮 ,提交 注册 信息 。 

(3) 当 新 会 员 注册 成 功 之 后 ,系统 会 自动 导航 到 登录 界面 ,注意 的 是 数字 ID 从 右边 
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获得 。 输 入 昵称 , 单 击 右 上 角 的 “查询 数字 ID” 按 钮 即 可 。 

(4) 购买 域名 。 单 击 左 上 角 的 “进入 账户 ”, 进 入 “我 的 控制 面板 ”, 单 击 “ 产 品 购买 ”下 
拉 列 表 中 的 ”域名 购买 ”。 要 先 对 所 要 购买 的 域名 进行 查询 ,在 域名 查询 结果 中 ,只 有 未 
被 别人 注册 过 的 域名 ,才能 注册 ,才能 购买 。 

输入 想 要 注册 的 域名 ,选择 后 级 (顶级 域名 ) , 单 击 " 检 测 " 按 钮 ,检测 该 域名 是 否 已 被 
别人 注册 。 如 果 该 域名 还 没有 被 注册 , 单 击 * 购 买 "按钮 ,进行 域名 购买 ,否则 进行 重新 
查询 。 

(5) 接 下 来 ,要 进行 域名 注册 ,域名 注册 信息 分 为 注册 信息 、 注 册 人 信息 和 附加 信息 
部 分 。 信 息 填 写 完毕 ,确认 无 误 之 后 , 单 击 " 下 一 步 "按钮 ,如 图 7.7 所 示 。 


十 名 注册 (5( III 信息 填写 ) 


注册 域名 : 


[Ecom BI* 语 域 名 可 以 注册 


liming 
域名 三 码 : | ===n= 
确认 窗 码 : | -< 
用 户 关 型 : ”人 @@ 公司 中 个 人 


公司 /所 有 人 (中 文 ) : 
公司 /所 有 人 (英文 ) : 


南京 县 天 科技 


nanjingshuntiankeji 


注册 联系 人 (中 文 ) : 李 明 
注册 联系 人 (英文 ): liming 
省 份 ( 中 立 ) : [ 远 苏 省 [ 圳 去 市 加 
省 份 (英文 ): iangsu 
把 ( 英 文 ): nanjing 
由 B 政 辐 码 : 1210000 
地 址 (中 文 ) : ”福建 路 2 号 
地 址 (英文 ) : jfujianilu2hao 
虹 子 昌 件 : jliming@126.com 您 常用 的 电子 邮箱 
电话 号 码 : |15912345671 
传记 号 码 : ,025-83491231 


全 使 用 默认 DNS 服务 器 


选择 域名 解析 服务 器 : 
全 您 填写 的 DNS 必 须 是 国内 注册 过 的 DNS 
DNS1: |231.231.2.1 
DNS2: ‘231.231.2.0 
也 我 已 阅读 、 理 解 并 接受 注册 协议 
村 别提 | 


醒 旋 : 
为 了 使 您 更 快捷 地 注册 域名 ， 此 处 只 需 填 写 注册 人 全息， 管理 联系 人 请 您 在 注册 成 功 后 登陆 会 员 服 劳 系 


和 性 更 改 即 可 。 


7.7 填写 域名 注册 信息 


(6) 域名 注册 完成 之 后 ,要 进行 域名 的 充值 。 选 择 所 要 充值 的 域名 , 单 击 “ 域 名 续费 ” 


图 标 ,如 图 7.8 所 示 。 


(7) 在 弹出 的 界面 中 选择 付费 年 限 、 费 用 , 单 击 “ 支 付 "按钮 ,进行 支付 。 
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会 员 后 台 管 理 >> 域名 管理 


业 争 多? 看 


业务 详情 ”联系 人 管理 。 “域名 解析 密码 修改 证 书 打印 域名 续费 域名 注销 


选择 。 注册 域名 注册 单位 。 ”消费 金额 ( 旦 ) 业务 有 效 期 状态 

liming,com 。 南京 过 天 科技 0 2009-05-04/2009-05-04 未 充值 

记录 总 数 : 工 总 页 数 : 工 当前 页 :1 <<<1>>> 
图 7.8 域名 续费 


(8) 选择 中国 工 商 银行 ”, 单 击 “ 支 付 ” 按 钮 。 再 确认 支付 信息 , 单 击 “ 在 线 支付 ” 


按钮 。 
(9) 在 “支付 "界面 ,输入 卡号 、 支 付 密码 和 附加 码 , 单 击 “ 确 定 ” 按 钮 ,如 图 7. 9 所 示 。 


V 定 单 直接 用 卡号 密码 支付 


日 期 : 2010-11-17 
定单 号 : 634255872091406 


亚信 用 卡 “G 借 记 卡 


250 [6555674551989645 
金额 ; ¥200 oo | 忘记 窑 码 ? 
币 种 : 人 民 币 EX 
4PBx2 esxz 
商 户 : 南京 奥 派 科技 看 不 清热 一 张 
L 确定 ] 


图 7.9 确认 支付 信息 


(10) 购买 主机 。 进 入 “我 的 控制 面板 ”, 单 击 “ 产 品 购买 ”下 拉 列 表 中 的 “主机 购买 ”。 
在 注册 购买 界面 , 单 击 主机 信息 下 方 的 “购买 ”按钮 。 

(11) 接 下 来 ,要 选择 主机 的 配置 资料 (操作 系统 选择 UNIX, 机 房 选择 电信 ), 单 击 
“购买 ”按钮 ,完成 主机 购买 。 注 意 ,主机 的 默认 密码 是 88888888 。 

(12) 新 购买 的 主机 。 要 进行 主机 续费 , 单 击 “ 主 机 续费 ”图 标 。 在 弹出 的 界面 中 , 选 
择 年 限 及 金额 , 单 击 “ 确 认 ” 按 钮 。 

3. 思考 题 

怎么 设置 域名 ? 
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实验 12 ”网 络 广告 
一 、 实 验 目的 
利用 软件 来 学 习 掌握 网 络 广告 ,邮件 推广 和 网 络 调研 实践 活动 。 
二 、 实 验 原理 


网 络 广告 ,主要 是 指 利用 信息 通信 网 络 作为 广告 媒体 ,采用 电子 多 媒体 技术 进行 设 
计 制 作 , 并 通过 网 络 进行 传播 的 广告 形式 。 它 是 新 世纪 中 经 济 社会 生活 的 向 导 , 并 以 其 
新 的 内 涵 成 为 一 个 新 的 焦点 。 

随 着 互联 网 的 普遍 应 用 ,网 络 广告 已 经 成 为 中 国 广告 业 一 个 闪 亮 明星 ,广告 媒体 已 
经 成 为 今天 的 主流 媒体 和 强势 媒体 。 不 过 ,这 也 要 求 我 们 对 网 络 广告 的 发 展 有 更 清晰 的 
认识 ,能 根据 广告 业 自身 的 发 展 , 加 大 对 网 络 广告 的 设计 模式 开发 和 创意 研究 。 网 络 广 
告 设计 的 创意 需要 传统 创意 人 的 灵感 ,也 需要 技术 支持 ,因为 创意 的 优势 不 仅仅 是 视觉 、 
听觉 等 元 素 ,还 有 广告 形式 上 通过 整合 而 制造 的 新 互动 。 

三 、 实 验 内 容 

南京 奥 派 科 技 是 一 家 网 络 广告 的 提供 商 。 李 明 是 南京 到 天 科技 的 一 名 职员 ,主要 负 
责 公司 的 业务 推广 , 现 想 在 奥 派 科技 的 网 络 广告 平台 上 申请 网 络 广告 。 

四 、 实 验 步骤 

1. 网 络 广 告 的 发 布 商 设置 初始 数据 

网 络 广告 的 服务 商 (南京 奥 派 科技 ) 绑 定 银行 账户 ,然后 进行 网 络 广告 报价 的 设置 以 及 
发 布 新 闻 。 另 外 .用户 李 明 申 请 网 络 广告 账号 ,服务 商 (南京 奥 派 科技 ) 对 会 员 进 行 管理 ， 

(1) 进入 服务 商 平 台 。 选 择 “ 网 络 营 销 实践 "模块 ,选择 “网 络 广告 "选项 , 单 击 “ 服 务 
商 平台 ”后 面 的 “进入 ”按钮 ,进入 网 络 广告 服务 商 平台 。 

(2) 服务 商 绑 定 银行 账号 。 单 击 * 支 付 管理 "标签 ,进入 "银行 账户 管理 "界面 , 单 击 
“新 增 账户 ”按钮 。 

(3) 在 弹出 的 银行 账号 管理 界面 中 ,输入 已 申请 的 南京 奥 派 科技 的 网 上 银行 账号 , 单 
击 “ 提 交 ” 按 钮 , 则 服务 商 银行 账号 绑 定 成 功 , 如 图 7. 10 所 示 。 


支付 管理 支付 管理 >> 银行 账户 管理 


银行 名 称 : | [工商 归 行 


所 在 银行 商户 编号 : * | [6 


银行 帐号 : * | [6555671014695822 
提醒 : 银行 账户 需要 开通 企业 付款 通道 功能 [如 何 开通 企业 付款 通道 功能 ? ] 


加 


图 7.10 银行 账号 绑 定 


12 天 


,2 
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(4) 服务 商 广告 报 价 管理 。 进 入 服务 商 平台 , 单 击 * 报 价 管理 ?标签 ,进入 报价 管理 界 
面 ,对 于 不 同 频道 的 不 同 广告 位 报价 ,只 需 输入 新 的 报价 , 单 击 “ 修 改 ” 按 钮 , 即 可 成 功 修 
改 广告 位 报价 。 

(5) 用 户 申请 网 络 广 告 账 号 。 单 击 “ 网 络 广 告 平台 ”后 面 的 “进入 "按钮 ,进入 网 络 广 
告 平台 界面 。 

(6) 单 击 左下 角 的 “网 络 广告 一 一 让 你 的 企业 一 夜 成 名 ”图 标 ,进入 用 户 界面 。 单 击 
左上 角 的 “注册 ”按钮 ,进入 注册 界面 。 

(7) 在 用 户 注册 界面 中 填写 详细 注册 信息 (用 户 名 、 登 录 密码 、 性 别 等 ) , 单 击 * 确 定 ” 
按钮 , 则 会 员 注册 成 功 。 

(8) 服务 商 对 会 员 进 行 管理 。 单 击 * 服 务 商 平台 ”后 面 的 “进入 "按钮 ,进入 服务 商 平 
台 , 单 击 “ 会 员 管 理 ” 下 拉 列 表 中 的 “会 员 资 料 管理 ”", 进 入 会 员 资 料 管理 界面 。 单 击 操作 
下 方 的 “详细 ?按钮 可 查看 会 员 详细 信息 , 单 击 * 编 辑 ” 按 钮 可 管理 会 员 资料 信息 。 

(9) 单 击 * 会 员 管理 "下拉 列 表 中 的 “会 员 控 制 ”", 进 入 会 员 控制 界面 , 单 击 操作 下 方 的 
“控制 ?按钮 ,在 弹出 的 会 员 信息 控制 界面 中 ,选择 会 员 状 态 ( 正 常 ) , 单 击 * 修 改 " 按 钮 即 可 。 

(10) 单 击 “ 会 员 管 理 ? 下 拉 列 表 中 的 “密码 重 置 服务 ”, 进 入 会 员 密 码 重 置 界 面 , 单 击 
操作 下 方 的 “密码 重 置 "按钮 。 在 弹出 的 密码 重 置 界 面 中 ,填写 重 置 原因 ,输入 新 密码 和 
校对 密码 , 单 击 “ 重 置 ”按钮 即 可 。 

2. 用 户 申 请 网 络 广告 并 购买 

作为 会 员 的 李 明 先 要 进行 账户 充值 ,并 选择 广告 类 型 和 发 布 时 间 , 申 请 广告 位 。 另 
一 方面 ,服务 商 要 审核 该 会 员 的 广告 申请 。 

(1) 用 户 修 改 个 人 信息 。 单 击 “ 李 明 ” 后 面 的 “进入 ”按钮 ,进入 用 户 界面 。 

(2) 单 击 左 上 角 ( 李 明 ) 的 “资料 ”按钮 ,进入 注册 信息 维护 界面 。 在 注册 信息 维护 之 
后 , 单 击 “ 修 改 ” 按 钮 即 可 。 

(3) 用 户 进行 账户 充值 。 单 击 左 上 角 ( 李 明 ) 的 “在 线 充值 ”按钮 ,进入 在 线 充 值 界 面 。 
选择 中 国 工商 银行 ,输入 充值 金额 (1000), 单 击 “ 去 银行 充值 ”按钮 。 

(4) 进行 在 线 确 认 , 单 击 “ 在 线 支付 "按钮 。 

(5) 输入 卡号 ,支付 密码 和 验证 码 , 单 击 “ 确 认 ” 按 钮 , 则 支付 成 功 。 

(6) 会 员 申 请 广告 并 管理 广告 。 单 击 “ 广 告 申请 ”下 的 Go 按钮 ,进入 广告 申请 界面 。 
填写 广告 申请 详细 信息 . 单 击 “ 确 定 ” 按 钮 .如 图 7.11 所 示 。 

(7) 如 需 撤销 申请 中 的 广告 , 单 击 “ 广 告 管理 ”下 的 “操作 ”下 方 的 “详细 ”按钮 ,如 
图 7.12 所 示 。 在 弹出 的 界面 中 , 单 击 “ 撤 销 申请 ”按钮 ,如 图 7.12 所 示 。 

(8) 如 需 修 改 申请 中 广告 的 信息 , 单 击 “ 操 作 ” 下 方 的 “编辑 ”按钮 (图 7.12) ,在 弹出 
的 界面 中 ,填写 修改 的 资料 , 单 击 “ 确 定 ” 按 钮 。 

(9) 服务 商 广 告 业务 管理 。 服 务 商 对 用 户 广 告 进行 编辑 ,进入 服务 商 平台 , 单 击 “ 业 
务 中 心 " 下 拉 列 表 中 的 “广告 编辑 ”, 单 击 操作 下 方 的 “编辑 ”按钮 。 在 弹出 的 界面 中 编辑 
申请 广告 信息 , 单 击 “ 确 定 ” 按 钮 。 
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注意 ， 现 实 中 的 广告 申请 需要 上 传 广告 文件 ， 所 以 第 4 项 和 第 5 项 
仅 为 实验 而 设 定 。 
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图 7.12 撤销 广告 申请 


民 务 商 撤销 用 户 广告 。 进 入 服务 商 平台 , 单 击 * 业 务 中 心 " 下 拉 列 表 中 的 "广告 


撤销 ”, 单 击 操作 下 方 的 “撤销 "按钮 。 


(11) 


肛 务 商 审 核 用 户 广告 。 进 入 服务 商 平台 , 单 击 “ 业 务 中 心 " 下 拉 列 表 中 的 “广告 


安排 ”, 单 直 
3. 申 


fi 操作 下 方 的 “审核 ”按钮 。 进 入 广告 安排 界面 , 单 击 “ 审 核 " 按 钮 。 
请 效果 管理 和 其 他 功能 


服务 商 发 布 新 闻 ,以 及 促销 价 的 设置 ; 另 一 方面 ,用 户 查看 已 发 布 的 广告 效果 ,并 对 
服务 商 提问 留言 ,服务 商 对 其 回复 。 
(1) 服务 商 广 告 管理 。 服 务 商 发 布 新 闻 , 进 入 服务 商 平台 , 单 击 “ 广 告 管理 ”下 拉 列 表 


中 的 “新 闻 
“发 布 新 闻 


管理 ”", 进 入 新 闻 管理 界面 , 单 击 “ 发 布 新 闻 " 按 钮 。 输 入 新 闻 主 题 和 内 容 , 单 击 
”按钮 , 则 新 闻 发 布 成 功 。 


如 需 查 看 新 闻 内 容 . 单 击 操作 下 方 的 “查看 "按钮 ; 如 需 编辑 新 闻 内 容 . 单 击 操作 下 方 
的 “编辑 "按钮; 如 需 删 除 新 闻 内 容 , 单 击 操作 下 方 的 "删除 "按钮 ,如 图 7. 13 所 示 。 
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图 7.13 广告 管理 


(2) 服务 商 查看 广告 位 单 击 效 果 。 单 击 “ 广 告 管理 ”下 拉 列 表 中 的 “广告 位 单 击 效 
果 ”, 进 入 广告 位 单 击 效 果 界 面 ,选择 所 要 查看 频道 的 广告 位 , 即 可 查看 到 广告 位 单 击 
效果 。 

(3) 服务 商 设置 广告 位 促销 信息 。 单 击 “ 广 告 管理 ”下 拉 列 表 中 的 “广告 位 促销 价 设 
置 ”", 进 入 广告 位 促销 价 设置 界面 ,选择 促销 频道 ,促销 广告 位 置 和 促销 价格 , 单 击 “ 确 定 ” 
按钮 。 

(4) 会 员 提问 。 单 击 李 明 后 面 的 "进入 ”按钮 ,进入 会 员 平台 , 单 击 * 网 络 留言 "下 面 的 
Go 按钮 ,进入 网 络 留言 界面 。 单 击 “我 要 留言 "按钮 ,进入 留言 界面 。 选 择 留言 类 型 , 填 
写 留言 标题 和 内 容 , 单 击 “保存 ”按钮 。 

(5) 服务 商 回复 留言 。 进 入 服务 商 平台 , 单 击 “ 用 户 留 言 " 下 拉 列 表 中 的 “用 户 留 言 管 
理 ”, 进 入 留言 管理 界面 , 单 击 操作 下 面 的 “回复 按钮。 进入 留言 信息 维护 界面 ,查看 用 
户 留言 内 容 , 输 入 回复 内 容 , 单 击 “ 回 复 ” 按 钮 。 

服务 商 如 需 删除 留言 ,首先 应 选择 所 要 删除 的 留言 ,再 单 击 “ 删 除 ” 按 钮 即 可 。 

(6) 服务 商 发 送 系 统 信息 。 进 入 服务 商 平台 , 单 击 * 用 户 留言 "下 拉 列 表 中 的 "消息 属 
发 ”, 输 入 群发 消息 标题 和 内 容 , 选 择 接收 会 员 , 单 击 " 发 送 ” 按 钮 。 

(7) 会 员 查 看 留言 。 单 击 李 明 后 面 的 “进入 "按钮 ,进入 会 员 平 台 , 单 击 “ 网 络 留 言 " 下 
面 的 Go 按钮 ,进入 网 络 留言 界面 . 单 击 " 系 统 消息 ”按钮 ,查看 系统 消息 ; 单 击 回复 留言 
后 面 的 “查看 ”按钮 ,查看 已 恢复 留言 。 

(8) 查看 广告 效果 。 单 击 “ 网 络 广告 平台 ”后 面 的 “进入 "按钮 ,查看 网 络 广告 的 效果 。 

4. 思考 题 


怎么 取得 良好 的 网 络 广告 ? 


电子 商务 物流 篇 


8.1 引言 


当今 世界 网 络 .通信 和 信息 技术 飞速 发 展 , Internet 在 全 球 迅速 普及 ,使 得 商务 空间 
发 展 到 全 球 的 规模 ,促进 企业 组 织 改 革 自 己 的 思维 观念 ,组织 结构 ,战略 方针 和 和 运行 方式 
来 适应 全 球 性 的 发 展 变化 。 电 子 商 务 就 是 适应 以 全 球 为 市 场 而 出 现 和 发 展 起 来 的 一 种 
新 的 商贸 模式 ,通过 网 络 技术 快速 而 有 效 地 进行 各 种 商务 行为 , 即 在 商务 运作 的 整个 过 
程 中 实现 交易 无 纸 化 、 直 接 化 。 电 子 商务 可 以 使 商家 与 供应 商 , 在 全 球 市 场 上 销售 产品 ; 
也 可 以 让 用 户 足 不 出 户 在 全 球 范围 内 选择 最 佳 商 品 ,享受 全 过 程 的 电子 服务 。 

电子 商务 作为 网 络 时 代 的 一 种 全 新 的 交易 模式 ,相对 于 传统 商务 是 一 场 革命 。 电 子 
商务 的 优势 之 一 就 是 能 大 大 简化 业务 流程 ,降低 企业 运作 成 本 ,而 电子 商务 企业 成 本 优 
势 的 建立 和 保持 必须 以 可 靠 和 高 效 的 物流 运作 作为 保证 。 所 以 ,加 大 力度 防护 物流 信息 
的 安全 ,大 力 发 展现 代 化 物流 ,电子 商务 才能 得 到 更 好 的 发 展 。 


8.2 电子 商务 物流 


8.2.1 电子 商务 与 现代 物流 的 概念 


电子 商务 (Electronic Commerce,EC) ,通常 是 指 在 全 球 各 地 广泛 的 商业 贸易 活动 中 ， 
基于 浏览 器 /服务 器 应 用 方式 ,买卖 双方 不 谋面 地 进行 各 种 商贸 活动 ,实现 消费 者 的 网 上 
购物 、 商 户 之 间 的 网 上 交易 和 在 线 电 子 支付 以 及 各 种 商务 活动 、 交 易 活动 .金融 活动 和 相 
关 的 综合 服务 活动 的 一 种 新 型 的 商业 运营 模式 。 

现代 物流 是 以 追求 企业 效益 为 目标 ,以 现代 化 的 手段 与 设备 ,以 先进 的 管理 与 运作 ， 
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实现 商品 与 服务 的 实体 从 供给 者 向 需求 者 转移 的 经 济 活动 过 程 。 它 包括 分 配 计划 、 运 
输 、 仓 储 、 市 场 研 究 ,为 用 户 服务 五 个 方面 的 综合 性 服务 。 


8.2.2 电子 商务 与 现代 物流 的 关系 


现代 物流 的 发 展 与 电子 商务 是 密 不 可 分 的 ,可 以 从 以 下 两 个 方面 理解 : 

(1) 电子 商务 的 应 用 改变 了 传统 市 场 的 结构 ,改变 了 传统 的 物流 观念 ,改变 了 物流 的 
运作 方式 ,改变 了 物流 企业 的 经 营 。 从 而 使 生产 企业 和 消费 者 可 以 直接 互联 ,让 电子 商 
务 环境 下 供应 链 变 得 更 为 科学 和 合理 。 

(2) 物流 是 商 流 、 资 金 流 、 信 息 流 、 物 流 这 四 流 中 最 为 特殊 的 一 种 。 缺 少 了 现代 化 的 
物流 过 程 ,电子 商务 就 不 再 完整 。 物流 还 是 实施 电子 商务 的 关键 和 支点 ,无 论 是 在 传统 
的 贸易 方式 下 ,还 是 在 电子 商务 下 ,生产 都 是 商品 流通 之 本 ,而 生产 的 顺利 进行 需要 各 类 
物流 活动 支持 ,整个 生产 过 程 实际 上 就 是 系列 化 的 物流 活动 。 缺 少 了 现代 化 的 物流 , 生 
产 将 难以 进行 ,无 论 电 子 商 务 是 多 么 便捷 的 贸易 方式 , 仍 将 是 无 米 之 炊 。 


8.2.3 电子 商务 下 的 物流 模式 


1. 自 建物 流 

自 建物 流 系统 的 核心 是 建立 集 物流 、 商 流 、 信 息 流 于 一 体 的 现代 化 新 型 物流 配送 中 
心 ,而 电子 商务 企业 在 自 建物 流 配送 中 心 时 ,应 广泛 地 利用 条 码 技术 、 数 据 库 技术 、 电 子 
订货 系统 、 电 子 数据 交换 ,快速 反应 (QR) 以 及 有 效 的 客户 反应 (ECR) 等 信息 技术 和 先进 
的 自动 化 设施 ,以 使 物流 中 心 能 够 满足 电子 商务 对 物流 配送 提出 各 种 要 求 。 

2. 第 三 方 物流 

在 电子 商务 环境 下 发 展 第 三 方 物流 往往 会 为 企业 带 来 较为 满意 的 结果 ,而 第 三 方 物 
流 所 带 来 的 好 处 主要 体现 在 减少 成 本 、 提 高 服务 水 平 . 增 加 灵活 性 、 提 高 进入 更 大 市 场 的 
可 能 性 、 增 强 市 场 反 应 能 力 、 有 利于 业务 流程 的 优化 以 及 增加 知识 存量 等 方面 。 对 于 开 
展 电子 商务 的 企业 而 言 . 采 用 第 三 方 物流 模式 解决 物流 问题 具有 明显 的 战略 优势 ,主要 
表现 为 : 企业 集中 精力 于 核心 业务 ; @ 灵 活 运 用 新 技术 ,实现 以 信息 换 库存 ,提供 灵活 
多 样 的 顾客 服务 ,为 顾客 创造 更 多 的 价值 ; 加 减少 固定 资产 投资 ,加 速 资 本 周转 。 

3. 第 四 方 物流 

第 四 方 物流 的 概念 最 早 由 安达 信 咨 询 公司 提出 的 。 按 照 John Gattorna 的 定义 ,第 
四 方 物流 供应 商 是 一 个 供应 链 的 集成 商 , 它 对 公司 内 部 和 具有 互补 性 服务 供应 商 所 拥有 
的 不 同 资源 、 能 力 和 技术 进行 整合 和 管理 ,提供 一 整套 供应 链 解 决 方案 。 从 第 四 方 物流 
的 内 涵 来 看 ,第 四 方 物流 不 仅 控制 和 管理 特定 的 物流 服务 ,而 且 对 整个 物流 过 程 提出 策 
划 方 案 , 并 通过 电子 商务 将 这 个 过 程 集成 起 来 ,所 以 ,第 四 方 物流 成 功 的 关键 在 于 为 顾客 
提供 最 佳 的 增值 服务 , 即 迅 速 、 高 效 、 低 成 本 和 人 性 化 服务 。 

4. 精益 物流 和 敏捷 物流 

精益 思想 的 核心 是 “通过 彻底 排除 浪费 来 降低 成 本 ”。 它 的 具体 要 求 就 是 在 适当 的 
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时 间 、 适 当 的 地 点 提供 适量 的 零 部 件 ,这 种 与 供应 链 管 理 的 思想 密切 融合 起 来 的 物流 配 
送 就 是 精益 物流 的 雏形 。 敏 捷 制 造 和 动态 联盟 的 概念 最 初 在 美国 里 海 大 学 向 美国 国会 
提交 的 一 份 研究 报告 中 提出 ,很 快 便 受到 了 国会 和 工业 办 的 普遍 重视 ,目前 几乎 所 有 的 
美国 大 公司 都 接受 敏捷 制造 的 思想 ,同时 世界 上 其 他 的 发 达 国家 也 纷纷 进行 敏捷 思想 的 
研究 和 应 用 。 

5. 发 展 物流 联盟 

《物流 术语 ) 中 这 样 定义 物流 联盟 : 为 了 达到 比 单独 从 事物 流 活动 所 取得 的 更 好 效 
果 , 企 业 间 形成 的 相互 信任 、 共 担 风险 ,共享 利益 的 物流 伙伴 关系 。 企 业 间 不 完全 采取 导 
致 自身 利益 最 大 化 的 行为 ,也 不 完全 采取 导致 共同 利益 最 大 化 的 行为 ,只 是 在 物流 方面 
通过 契约 形成 优势 互 长 ,要素 双向 或 多 向 流动 的 中 间 组 织 。 狭 义 的 物流 联盟 存在 于 非 物 
流 企业 之 间 , 广 义 的 物流 联盟 包括 第 三 方 物流 。 发 展现 代 物流 ,就 是 要 发 展 以 第 三 方 物 
流 为 基础 的 ,构建 物流 企业 与 非 物流 企业 乃至 物流 企业 与 物流 企业 间 的 巩固 的 物流 联 
盟 , 这 两 种 物流 联盟 的 基础 不 同 ,物流 企业 与 非 物流 企业 之 间 的 基础 是 服务 ; 物流 企业 与 
物流 企业 之 间 的 基础 是 制度 服务 规则 。 


8.2.4 电子 商务 环境 下 物流 的 发 展 趋势 


电子 商务 环境 下 物流 的 发 展 趋势 如 下 : 

(1) 物流 服务 功能 不 断 扩展 基于 电子 商务 的 现代 物流 ,除了 满足 传统 物流 的 基本 功 
能 外 ,主要 是 提供 的 广阔 的 增值 服务 (ValueAdded Logistics Services) 功 能 。 增 值 性 的 物 
流 服务 包括 : 中 增加 便利 性 的 服务 ,一切 能 够 简化 手续 、 简 化 操作 的 物流 服务 都 属于 此 
类 ,如 自动 订货 ,传递 信息 和 转账 等 ; @ 加 快 反应 速度 (Quick Response) 的 服务 ,在 需求 
方 对 速度 的 要 求 越 来 越 高 的 情况 下 ,快速 反应 已 经 成 为 物流 发 展 的 动力 之 一 ; @ 延 伸 服 
务 , 向 上 可 以 延伸 到 市 场 调查 与 预测 、 采 购 及 订单 处 理 , 向 下 可 以 延伸 到 配送 、 物 流 咨询 、 
物流 方案 的 选择 与 规划 等 ; @ 降 低 成 本 的 服务 ,电子 商务 发 展 的 前 期 ,物流 成 本 将 会 高 居 
不 下 ,有 些 企业 可 能 会 因为 根本 承受 不 了 这 种 高 成 本 退出 电子 商务 领域 ,或 者 是 选择 性 
地 将 电子 商务 的 物流 服务 外 包 出 去 ,这 是 很 自然 的 事情 ,因此 发 展 电子 商务 ,一 开始 就 应 
该 寻找 能 够 降低 物流 成 本 的 物流 方案 。 

(2) 物流 的 全 球 化 趋势 电子 商务 发 展 打破 了 时 空 限制 ,经 济 全 球 化 特点 日 益 明显 ,在 
现代 企业 产品 跨国 界 流通 的 形势 下 ,物流 企业 的 服务 范围 也 相应 地 从 区 域 向 全 球 扩展 。 
全 球 化 战略 的 趋势 ,使 物流 企业 和 生产 企业 更 紧密 地 联系 在 一 起 ,生产 企业 致力 于 制造 
产品 、 降 低 成 本 、 创 造价 值 的 同时 .物流 企业 要 集中 精力 提高 物流 服务 需求 ,做 好 物流 服 
务 。 例 如 ,在 配送 中 心 ,对 进口 商品 的 代理 报关 业务 、 储 存 、 搬 运 和 配送 ,必要 的 流通 加 
工 ,从 商品 进口 到 送 交 消费 者 手中 的 实现 一 条 龙 服务 。 在 电子 商务 环境 下 发 展 物流 业 是 
时 代 所 趋 , 要 正确 认识 电子 商务 对 物流 业 的 影响 和 促进 作用 ,合理 地 选择 电子 商务 成 本 
的 投入 ,从 而 增加 我 国 物流 行业 的 竞争 力 。 
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8.3 与 电子 商务 安全 有 关 的 技术 


8.3.1 密码 技术 


密码 技术 根据 密 钥 性 质 的 不 同 , 可 分 为 传统 密码 体制 和 公开 钥 密码 体制 两 大 类 型 。 
传统 密码 体制 加 密 解密 用 同一 个 密 钥 , 即 Ke 二 Kd; 而 公开 钥 密码 体制 使 用 一 对 密 钥 即 
一 个 私 钥 和 一 个 公 钥 ,其 对 应 关系 是 唯一 的 , 公 钥 对 外 公开 , 私 钥 个 人 秘密 保存 。 一 般 用 
公 钥 来 进行 加 密 , 用 私 钥 来 进行 签名 ; 同时 私 钥 用 来 解密 , 公 钥 用 来 验证 签名 。 算 法 的 加 
密 强 度 主要 取决 于 选 定 的 密 钥 长 度 。 


8.3.2 访问 控制 


除了 计算 机 网 络 硬件 设备 之 外 ,网 络 操作 系统 是 确保 计算 机 网 络 安全 的 最 基本 软 
件 。 它 是 计算 机 网 络 资源 的 管理 者 ,必须 具备 安全 的 控制 策略 和 保护 机 制 ,防止 非法 入 
侵 者 攻破 设防 而 非法 获取 资源 。 网 络 操作 系统 安全 保密 的 核心 是 访问 控制 , 即 确保 主体 
对 客体 的 访问 只 能 是 授权 的 ,未 经 授权 的 访问 是 不 允许 的 ,其 操作 是 无 效 的 。 因 此 ,授权 
策略 和 机 制 的 安全 性 显得 特别 重要 。 保 护 可 以 从 以 下 几 个 方面 加 以 考虑 : 物理 隔离 .时 
间隔 离 、 密 码 隔离 。 


8.3.3 防火 墙 技术 


设立 防火 墙 的 目的 是 保护 内 部 网 络 不 受 外 部 网 络 的 攻击 ,以 及 防止 内 部 网 络 用 户 向 
外 泄密 。 目 前 ,防火 墙 技术 主要 有 分 组 过 滤 和 代理 服务 两 种 类 型 。 

(1) 分 组 过 滤 : 是 一 种 基于 路 由 器 的 防火 墙 。 它 是 在 网 间 的 路 由 器 中 按 网 络 安全 策 
略 设置 一 张 访问 表 或 黑 名 单 . 即 借助 数据 分 组 中 的 IP 地 址 确定 什么 类 型 的 信息 允许 通 
过 防火 墙 ,什么 类 型 的 信息 不 允许 通过 。 防 火 墙 的 职责 就 是 根据 访问 表 ( 或 黑 名 单 ) 对 进 
出 路 由 器 的 分 组 进行 检查 和 过 滤 , 凡 符合 要 求 的 放行 ,不 符合 的 拒 之 门 外 。 这 种 防火 墙 
简单 易 行 ,但 不 能 完全 有 效 地 防范 非法 攻击 。 目 前 ,80% 的 防火 墙 都 是 采用 这 种 技术 。 

(2) 代理 服务 : 是 一 种 基于 代理 服务 的 防火 墙 。 它 的 安全 性 高 ,增加 了 身份 认证 与 
审计 跟踪 功能 ,但 速度 较 慢 。 所 谓 审计 跟踪 是 对 网 络 系统 资源 的 使 用 情况 提供 一 个 完备 
的 记录 ,以 便 对 网 络 进行 完全 监督 和 控制 。 通 过 不 断 收 集 与 积累 有 关 出 和 人 网 络 的 完全 事 
件 记 录 , 并 有 选择 地 对 其 中 的 某 些 记 录 进 行 审 计 跟 踪 , 发 现 可 能 的 非法 行为 并 提供 有 力 
的 证 据 , 然 后 以 秘密 的 方式 向 网 上 的 防火 墙 发 出 有 关 信 息 ,如 黑 名 单 等 。 


8.3.4 ”数字 时 间 截 


交易 文件 中 ,时 间 是 十 分 重要 的 信息 。 在 书面 合同 中 ,文件 签署 的 日 期 和 签名 一 样 
均 是 十 分 重要 的 防止 文件 被 伪造 和 自 改 的 关键 性 内 容 。 在 电子 交易 中 ,同样 需 对 交易 文 
件 的 日 期 和 时 间 信 息 采 取 安 全 措施 ,而 数字 时 间 戳 服务 (Digital Time-stamp Service， 
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DTS) 就 能 提供 电子 文件 发 表 时 间 的 安全 保护 。 

数字 时 间 玲 服务 (DTS) 是 网 上 安全 服务 项 目 , 由 专门 的 机 构 提 供 。 时 间 戳 (Time- 
stamp) 是 一 个 经 加 密 后 形成 的 凭证 文档 , 它 包 括 需 加 时 间 戳 的 文件 的 摘要 (Digestb)、DTS 
收 到 文件 的 日 期 和 时 间 和 DTS 的 数字 签名 。 

中 国电 子 商 务 认证 系统 建设 中 出 现 的 问题 ,客观 上 引导 CA 向 一 个 更 加 理性 、 更 加 实 
际 的 方向 发 展 , 并 将 促使 中 国 的 电子 商务 循序 渐进 地 前 进 。 随 着 时 间 的 推移 ,电子 商务 
将 从 根本 上 改变 几 千 年 来 形成 的 传统 商业 模式 ,充分 体现 现代 科学 技术 给 人 们 生活 所 带 
来 的 便利 。 


8.3.5 数字 证 书 


在 交易 支付 过 程 中 ,参与 各 方 必须 利用 认证 中 心 签发 的 数字 证 书 来 证 明 各 自 的 身 
份 。 所 谓 数字 证 书 ,就 是 用 电子 手段 来 证 实 一 个 用 户 的 身份 及 用 户 对 网 络 资源 的 访问 
权限 。 

数字 证 书 是 用 来 唯一 确认 安全 电子 商务 交易 双方 身份 的 工具 。 由 于 它 由 证 书 管理 
中 心 做 了 数字 签名 ,因此 任何 第 三 方 都 无 法 修改 证 书 的 内 容 。 任 何 信用 卡 持 有 人 只 有 申 
请 到 相应 的 数字 证 书 ,才能 参加 安全 电子 商务 的 网 上 交易 。 数 字 证 书 一 般 有 四 种 类 型 : 
客户 证 书 、 商 家 证 书 、 网 关 证 书 及 CA 系统 证 书 。 


8.4 电子 商务 网 上 支付 存在 的 问题 


8.4.1 网 上 支付 的 安全 问题 


造成 网 上 支付 发 展 的 安全 风险 主要 有 三 个 方面 : 一 是 银行 网 站 本 身 的 安全 性 ; 二 是 
交易 信息 在 商家 与 银行 之 间 传 递 的 安全 性 ; 三 是 交易 信息 在 消费 者 与 银行 之 间 传 递 的 安 
全 性 。 无 论 是 何 种 风险 ,其 根本 原因 都 是 由 于 登录 密码 或 支付 密码 泄露 造成 的 。 

(1) 密码 管理 问题 。 大 部 分 公司 和 个 人 受到 网 络 攻击 的 主要 原因 是 密码 政策 管理 不 
善 。 大 多 数 用 户 使 用 的 密码 都 是 字典 中 可 查 到 的 普通 单词 姓名 或 者 其 他 简单 的 密码 。 
有 86% 的 用 户 在 所 有 网 站 上 使 用 的 都 是 同一 个 密码 或 者 有 限 的 几 个 密码 。 许 多 攻击 者 
还 会 直接 使 用 软件 强力 破解 一 些 安全 性 弱 的 密码 。 因 此 ,建议 用 户 使 用 复杂 的 密码 , 降 
低 被 病毒 破译 密码 的 可 能 性 ,提高 计算 机 系统 的 安全 性 。 需要 注意 的 是 : 一 是 密码 不 要 
设置 为 姓名 、 普 通 单词 .电话 号 码 ,生日 等 简单 密码 ; 二 是 结合 大 小 字母 数字 共 组 密码 ; 
三 是 密码 位 数 应 尽量 大 于 9 位 。 

(2) 网 络 病毒 ,木马 问题 。 现 今 流 行 的 很 多 木马 病毒 都 是 专门 用 于 窃取 网 上 银行 密 
码 而 编制 的 。 木 马 会 监视 正 浏览 器 正在 访问 的 网 页 ,如 果 发 现 用 户 正在 登录 个 人 银行 ， 
直接 进行 键盘 记录 输入 的 账号 和 密码 ,或 者 弹出 伪造 的 登录 对 话 框 ,诱骗 用 户 输入 登录 
密码 和 支付 密码 ,然后 通过 邮件 将 窃取 的 信息 发 送出 去 。 

(3) 钓鱼 平台 。“ 网 络 钓鱼 ”攻击 者 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 来 进 
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行 诈骗 活动 ,如 将 自己 伪装 成 知名 银行 、 在 线 零售 商 和 信用 卡 公司 等 可 信 的 品牌。 受骗 
者 往往 会 泄露 自己 的 财务 数据 ,如 信用 卡号 .账户 号 和 口令 等 。 


8.4.2 网 上 支付 的 信用 问题 


在 网 络 支付 中 由 于 其 虚拟 性 ,超时 空 性 等 特点 ,使 双方 互 不 相 见 ,也 难以 客观 地 判断 
对 方 的 信用 等 级 ,致使 网 络 支付 双方 对 对 方 的 信用 产生 怀疑 ,也 因此 阻碍 了 网 络 支付 的 


8.4.3 网 上 支付 的 法 律 问题 


目前 制约 网 上 支付 发 展 的 立法 问题 主要 包括 : 谁 来 发 行 电子 货币 ; 如 何 进行 网 络 银 
行 的 资格 认定 ; 怎样 监管 网 络 银行 的 业务 等 。 目 前 中 国 在 电子 商务 方面 ,有 关 的 政策 不 
够 明朗 化 ,相应 的 法 律 法 规 、 标 准 还 都 没有 建立 , 跨 部 门 . 跨 地 区 的 协调 存在 较 大 的 问题 。 

1. 网 上 安全 认证 机 构 (CA) 建 设 混乱 

在 网 络 上 ,为 了 完成 交易 ,交易 双方 的 身份 都 必须 通过 第 三 方 得 到 确认 ,电子 商务 认 
证 机 构 由 此 产生 。 电 子 认 证 机 构 的 职责 是 核实 使 用 者 的 身份 ,负责 电子 证 书 的 发 放 管 
理 , 及 时 公布 无 效 的 证 书 。 

2. 缺乏 相应 法 律 法 规 

目前 ,具体 到 为 电子 商务 服务 的 网 上 支付 业务 ,法 律 上 基本 还 是 一 个 空白 。 传 统 的 
支付 结算 规则 在 网 上 支付 业务 规范 中 有 一 定 的 作用 ,但 局 限 性 很 大 。 另 外 ,目前 涉及 网 
上 支付 的 法 律 只 有 《电子 签名 法 兴 解 决 了 类 似 传统 结算 业务 中 签 章 的 问题 ) ,规章 有 人 民 
银行 发 布 的 4 网 上 银行 业务 管理 办 法 》 银 监 会 的 (电子 银行 业务 管理 办 法 》 和 人 民 银 行 的 
《电子 支付 指引 》, 除 此 没有 其 他 规范 。 如 果 从 近期 讨论 的 为 电子 商务 服务 的 网 上 支付 问 
题 来 看 ,法 律 制度 上 几乎 一 片 空白 。 法 律 法 规 的 缺失 ,导致 政府 机 构 对 目前 从 事 网 上 支 
付 业 务 的 这 些 机 构 和 他 们 的 业务 要 不 要 监管 ,要 不 要 有 一 定 的 规则 去 规范 缺乏 统一 标 
准 。 正 是 因为 法 律 法 规 建设 的 滞后 导致 了 网 上 支付 存在 的 一 系列 问题 ,包括 安全 问题 、 
金融 监管 问题 .消费 者 权益 保护 问题 等 。 


8.5 完善 我 国电 子 商 务 网 上 支付 的 对 策 


8.5.1 安全 技术 策略 


为 了 确保 通信 的 安全 性 ,必须 采取 必要 的 措施 加 以 防范 。 在 通信 连接 方面 ,可 以 使 
用 防火 墙 、 代 理 服务 器 、 虚 拟 专用 网 络 (VPN) 等 技术 ; 在 鉴别 和 认证 方面 ,可 以 采取 加 密 
和 认证 技术 。 做 好 自身 计算 机 的 日 常安 全 维护 ,注意 以 下 几 点 : 一 是 经 常 给 计算 机 系统 
升级 ; 二 是 安装 杀毒 软件 、 防 火 墙 ,经 常 升级 和 杀毒 ; 三 是 在 平时 上 网 时 尽量 不 上 一 些小 
型 网 站 , 选 大 型 网 站 ,知名度 比 较 高 的 网 站 ,避免 网 站 挂 有 病毒 .木马 造成 中 毒 ; 四 是 尽量 
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不 要 在 公共 计算 机 上 使 用 自己 的 有 关 资 金 的 账户 和 密码 ,五 是 有 条 件 的 情况 下 ,在 初 装 
计算 机 操作 系统 后 ,给 自己 的 计算 机 做 上 备份 ,在 使 用 资金 账户 前 做 一 次 系统 恢复 。 


8.5.2 加 快 立 法 进程 ,完善 法 律 保 障 


我 国电 子 商务 立法 还 不 够 ,我 国 没有 制定 专门 的 电子 支付 法 , 仅 有 一 些 行业 规范 效 
力 等 级 不 高 ,传统 支付 法 律 体系 中 关于 现金 与 票据 清算 的 规则 并 不 能 完全 适应 网 上 支付 
的 出 现 与 发 展 ; 在 电子 资金 划拨 方面 《中 华人 民 共 和 国 票据 法 》 确 立 的 是 以 纸 质 票据 为 
基础 的 结算 支付 制度 ,没有 针对 电子 资金 划拨 进行 立法 ,这 严重 阻碍 了 电子 商务 的 发 展 。 
2005 年 6 月 公布 的 (电子 支付 指引 ) 被 看 做 是 继 (电子 签名 法 ) 之 后 ,政府 为 推动 电子 商务 
发 展 而 实施 的 又 一 重大 措施 。 我 们 应 当 趁 着 势头 加 快 ( 电 子 支 付 法 ) 等 立法 进程 ,完善 有 
关 配 套 法 规制 度 。 

1. 提高 危机 意识 ,应 对 网 络 犯罪 

网 上 支付 出 现 后 ,为 洗钱 等 新 型 犯罪 活动 提供 了 新 的 机 会 和 更 大 的 空间 。 犯 罪行 为 
人 利用 各 种 先进 的 计算 机 技术 来 瓷 取信 用 卡 信息 、 私 人 资料 及 金融 财政 内 部 资料 ,然后 
进行 网 上 金融 诈骗 等 犯罪 。 我 国 现行 新 (刑法 ) 虽 然 对 计算 机 网 络 犯罪 等 做 出 了 相关 规 
定 ,但 从 广度 和 深度 来 说 都 还 不 够 ,而 随 着 国际 网 络 发 展 以 及 电子 商务 的 扩展 ,对 出 现 的 
新 型 犯罪 应 给 予 足够 的 重视 ,通过 相关 立法 来 制裁 此 类 犯罪 ,真正 做 到 有 法 可 依 。 

2. 加 强 社会 信用 机 制 建设 

法 律 为 保障 网 上 支付 必须 推动 社会 信用 制度 的 建立 。 发 达 的 商业 社会 对 社会 包括 
个 人 的 信用 有 着 很 高 的 要 求 , 并 通过 一 系列 公开 透明 的 制度 来 维护 和 保障 信用 制度 体 
系 。 我国 目前 在 对 信用 概念 内 涵 的 理解 ,信用 信息 公开 的 方式 和 程度 、 信 用 服务 企业 的 
市 场 发 展 程度 ,以 及 对 失信 者 的 惩戒 制度 方面 都 还 十 分 落后 ,甚至 存在 空白 。 应 当 承认 
我 国 还 属于 非 诚 信 国 家 ,信用 制度 还 很 不 健全 。 我 们 应 当 着 手 网 上 支付 信用 机 制 的 建 
设 ,建立 个 人 社会 信用 体系 ,网 络 交易 采用 实名 制 , 普 及 CA 认证 ,及 时 收集 和 反馈 用 户 信 
息 并 做 出 相应 解决 方案 ,促进 用 户 建立 网 络 信用 。 

3. 加 强 对 网 络 银行 .认证 机 构 的 监管 

加 强 电子 商务 行业 的 监管 ,规范 市 场 主体 行为 。 首 先 ,要 加 强 对 网 络 银行 的 监管 。 
网 上 银行 不 同 于 传统 银行 ,应 该 制定 新 的 准 入 条 件 , 加 强 对 客户 开户 的 监管 ,落实 责任 审 
查 客户 资料 等 信息 ,明确 网 上 银行 业务 终止 条 件 、 清 算 办 法 等 ,制定 电子 货币 退出 机 制 ， 
规范 电子 货币 市 场 。 其 次 ,要 加 强 对 认证 机 构 的 监管 。 政 府 主管 机 关 必 须 对 认证 机 构 进 
行 监管 ,认证 机 构 应 制定 严格 的 认证 操作 规则 、 定 期 审查 制度 以 及 信息 控制 制度 ,保证 程 
序 上 的 合法 性 ,对 于 认证 机 构 的 违反 行为 要 给 予 惩罚 。 最 后 ,第 三 方 支付 机 构 应 受 银 监 
会 监督 。 第 三 方 无 权 动用 客户 资金 ,必须 确保 资金 安全 和 支付 的 效率 。 而 支付 中 介 的 促 
裁 功能 还 未 受到 任何 监管 ,其 公正 性 应 得 到 保证 ,因为 其 决策 将 直接 作用 于 电子 商务 本 
身 ,影响 交易 的 最 终结 果 。 
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4. 完善 的 管理 策略 

由 于 电子 商务 交易 系统 是 一 个 人 机 高 度 综合 的 系统 ,除了 网 络 的 安全 之 外 ,管理 人 
员 的 管理 也 是 非常 重要 的 ,而 且 是 起 决定 性 作用 的 因素 。 因 此 ,对 整个 系统 的 管理 权限 
的 分 配 和 监督 .管理 人 员 的 培训 和 考核 .道德 和 业务 水 平 的 培养 都 必须 制定 出 一 套 完整 
的 规章 制度 ,以 利于 培养 管理 人 员 和 敬业 爱 岗 的 精神 。 


实验 13 电子 商务 物流 仓储 实践 


一 、 实 验 目 的 

利用 该 软件 来 学 习 掌握 电子 商务 物流 仓储 的 基本 运作 。 

二 、 实 验 原理 

仓储 是 产品 生产 流通 过 程 中 因 订单 前 置 或 市 场 预测 前 置 而 使 产品 .物品 暂时 存放 。 
它 是 集中 反映 工厂 物资 活动 状况 的 综合 场所 ,是 连接 生产 、 供 应 .销售 的 中 转 站 ,对 促进 
生产 提高 效率 起 着 重要 的 辅助 作用 。 同 时 ,围绕 着 仓储 实体 活动 ,清晰 准确 的 报表 、 单 据 
账目 ,会 计 部 门 核算 的 准确 信息 也 同时 进行 着 ,因此 仓储 是 物流 ,信息 流 、 单 证 流 的 合 一 。 

根据 系统 功能 要 求 进行 数据 库 中 表格 的 建立 。 通 过 对 用 户 的 需求 分 析 , 需 要 记录 物 
品 的 基本 信息 、 仓 库 的 基本 信息 和 仓库 的 操作 信息 。 

(1) 物品 的 基本 信息 表 包 括 物品 的 编号 名称、 生产 厂商 种 类 、 规 格 、 等 级 和 物品 所 
属 的 客户 ,其 中 物品 的 编号 为 主键 。 因 此 ,要 建立 一 个 物品 列表 ,用 以 储存 物品 的 信息 。 
同时 需要 为 物品 基本 信息 中 生产 厂商 ,物品 种 类 和 客户 建立 单独 的 表 。 在 物品 的 生产 厂 
商 表 中 包含 生产 厂商 的 名 称 和 代号 ,生产 厂商 代号 为 主键 ; 在 物品 种 类 表 中 包含 物品 
类 的 名 称 和 代号 ,物品 种 类 代号 为 主键 ; 在 客户 表 中 包含 客户 的 名 称 、 联 系 人 和 联系 电 
话 , 客 户 代号 为 主键 。 这 样 的 设计 完全 满足 BCNF 范式 ,表格 之 间 的 条 理 比较 清晰 。 各 
个 表 之 间 的 主键 关系 如 下 : 生产 厂商 表 的 主键 与 物品 列表 中 的 生产 厂商 代号 相关 联 ; 物 
品种 类 表 的 主键 与 物品 列表 中 的 生产 厂商 代号 相关 联 ; 客户 表 的 主键 与 物品 列表 中 的 客 
户 代号 相关 联 。 

(2) 仓库 的 基本 信息 应 包括 用 于 记录 职工 基本 信息 的 仓库 人 员 管 理 表 和 用 于 记录 仓 
库 库 位 信息 的 仓库 信息 表 。 仓 库 人 员 管 理 表 中 包括 职工 的 代号 、 姓 名 、 职 位 、 联 系 电 话 、 
身份 证 号 码 和 住址 ,职工 代号 为 主键 。 仓 库 信息 表 中 包括 存放 地 点 (相当 于 库 位 的 标 
号 ) ,仓库 号 .区 域 .货架 号 、 层 、 行 、 列 、 是 否 为 空 几 个 属性 ,其 中 存放 地 点 为 主键 。 

(3) 仓库 的 操作 信息 应 包括 用 于 储存 入 库 、 出 库 及 库 内 移动 操作 记录 的 入 库 表 、 出 库 
表 及 库 内 移动 表 ; 用 于 储存 当前 仓库 中 物品 记录 的 库存 表 ; 用 于 记录 员工 增删 情况 的 人 
和 变动 表 。 入 库 表 中 应 该 记录 物品 的 编码 、 入 库 的 时 间 、 经 手 人 和 存放 地 点 ,其 中 以 物品 
编码 和 入 库 时 间 联 合作 为 主键 ; 出 库 表 中 应 该 记录 物品 的 编码 、 出 库 时 间 和 经 手 人 ,其 中 
以 物品 编码 和 出 库 时 间 联 合作 为 主键 ; 库 内 移动 表 中 应 该 记录 物品 的 编码 ,移动 时 间 、 经 
手 人 、 原 存放 地 点 和 新 存放 地 点 ,其 中 以 物品 编码 和 移动 时 间 联 合作 为 主键 ; 库存 表 中 应 
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该 包括 物品 的 编码 、 入 库 时 间 、 存 放 地 点 和 经 手 人 ,其 中 以 物品 的 编码 作为 主键 。 人 事变 
动 表 中 应 该 包括 操作 号 、 人 事变 动 的 内 容 、 变 动 的 时 间 、 变 动人 员 的 代号 和 变动 人 员 的 姓 
名 ,其 中 操作 号 为 主键 。 另 外 ,系统 中 还 需要 有 用 户 的 登录 信息 表 用 于 记录 用 户 的 登录 
信息 。 登 录 信 息 表 中 应 该 有 登录 的 用 户 名 和 密码 ,其 中 登录 名 为 主键 。 为 安全 起 见 ,在 
设计 登录 界面 密码 及 储存 于 数据 库 时 ,系统 采用 MD5 加 密 算法 。 

三 、 实 验 内 容 

南京 奥 派 仓储 公司 是 一 家 仓储 公司 ,该 公司 想 建 立 自己 的 仓储 系统 平台 ,在 该 平台 
中 对 自己 的 仓库 和 业务 进行 管理 。 

四 、 实 践 步骤 

1. 基础 数据 设置 

注册 仓储 公司 (南京 奥 派 仓储 公司 ) 的 基本 信息 ,并 设置 该 公司 的 基础 数据 信息 , 包 
括 : 产品 信息 、 出 入 库 方式 、 库 区 的 设置 以 及 费用 的 设置 ,并 对 客户 进行 管理 。 

选择 “电子 商务 物流 实践 ”中 的 “仓储 实践 ”图标 , 单 击 仓储 管理 员 后 面 的 “进入 ” 按 
钮 ,进入 仓储 实践 平台 。 首 次 登录 要 先 设置 仓储 公司 的 基本 信息 ,这 也 是 进入 仓储 管理 
系统 的 第 一 步 。 填 写 完毕 后 单 击 “ 保 存 ” 按 钮 ,提交 仓储 公司 设置 ,如 图 8. 1 所 示 。 


仓 诗 公司 名 称 ; [南京 奥 派 仓储 公司 ]* 
法 人 代表 : | 李 明 


开户 银行 : [南京 银行 加 
银行 帐号 : 1111 2222 3333 4444 *( 例 : 1111 2222 3333 4444) 


南京 奥 派 仓储 公司 为 企业 提供 商品 艇 存 、 整 合 、 配 送 、 生 产 支 付 等 服务 。 


公司 简介 ; 


图 8.1 填写 仓储 基本 信息 


如 需 修改 仓储 公司 信息 , 单 击 左 框架 “系统 管理 ”下拉 列 表 中 的 “公司 信息 ”, 进 入 仓 
储 公司 基 本 信息 维护 界面 ,在 右 框架 中 显示 已 经 设置 的 公司 信息 ,修改 相关 信息 后 , 单 击 
“保存 ”按钮 ,提交 修改 设置 。 

2. 设置 实践 产品 

(1) 单 击 左 框架 * 基 础 设置 ?下 拉 列 表 中 的 “实验 产品 ”进入 实践 产品 信息 设置 界面 。 
首先 ,要 进行 产品 行业 管理 。 输 入 行业 名 称 ` 行 业 编码 前 绥 . 行 业 介绍 后 单 击 “ 添 加 ” 按 
钮 ,提交 行业 信息 设置 。 
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es 添加 完 行业 信息 之 后 ,还 要 添加 该 行业 的 下 属 产品 。 单 击 行业 信息 记录 中 “下 属 产 
品 ”* 下 方 的 按钮 ,进入 下 属 产 品 管理 界面 (如 需 查 看 行业 说 明 , 单 击 “ 行 业 说 明 ” 下 方 的 按 
钮 ; 如 需 修改 行业 信息 , 单 击 “ 修 改 * 下 方 的 按钮 ) ,如 图 8.2 所 示 。 
到 站 | 到 | 痪 个 改 


8.2 下 属 产品 管理 界面 


在 弹出 的 界面 中 , 单 击 下 方 的 “添加 ”按钮 ,添加 下 属 产品 ,如 图 8. 3 所 示 。 输 入 下 属 
产品 相关 信息 , 单 击 “保存 "按钮 ,提交 产品 信息 。 
ER 
[tcloool |] 


所 履行 业 : [B 用 人 ”于 MD: 
产品 海关 名 称 ; [1000 | 产品 名 称 ; [安利 夺 发 加 
产品 海关 编码 :|100 | 产品 规格 ;|v1.0 

保质 期 (天 ); |180 保质 期 管理 ; 网 过 择 

产品 单位 (数量 ); 项 ”到 * 产品 (重量; 元 可- 
产品 位 导向) 太吉- Xe 位 [AR 加 
毛重 : [100 wleo 
ttm: Do Rleo 上 

WE [150 


8.3 添加 下 属 产品 信息 


(2) 添加 出 库 方式 。 单 击 左 框架 “基础 设置 ?下 拉 列 表 中 的 “出 库 方式 ”, 进 入 出 库 设 
置 界面 。 出 库 方式 是 货物 在 出 库 时 可 选择 的 几 种 方式 ,如 ”* 自 担 ”“ 送 货 "“ 代 运 ” 等 ,也 
可 根据 不 同 仓储 公司 的 具体 情况 设置 对 应 的 其 他 出 库 方式 。 填 写 完 毕 后 单 击 * 添 加 ” 按 
钮 即 可 。 

(3) 仓库 设置 。 单 击 左 框架 “基础 设置 ”下 拉 列 表 中 的 “仓库 设置 ”, 进 入 仓库 设置 界 
面 。 输 入 仓库 的 基本 信息 如 仓库 编号 、 仓 库 名 称 、 地 址 、 负 责 人 以 及 选择 前 面 设置 的 仓库 
类 型 和 出 库 方式 等 内 容 ,填写 完毕 后 单 击 “ 添 加 ”按钮 即 可 (这 里 可 以 多 设置 几 个 仓库 信 
息 ) ,如 图 8.4 所 示 。 


炉 号 |001 本 名 称 || 1 号 仓库 上 
地 址 | 南京 市 白 下 路 1 号 | 负责 人 [1 号 管理 员 * 
负责 人 电话 [025-83494568 * | 资 多 总 额 [2000 * 
仓库 类 型 [RiG 昌 用 加 | nA 式 [EE 加 
| | 


图 8.4 添加 仓储 设置 


(4) 库 区 设置 。 库 区 是 从 属 仓库 的 ,也 是 货物 的 存放 位 置 。 单 击 左 框架 * 基 础 设置 
下 拉 列 表 中 的 “ 库 区 设置 ", 进 入 库 区 设置 界面 。 设置 库 区 的 编号 .名 称 、 容 积 、 出 租价 格 
等 。 填 写 完 毕 后 单 击 “ 添 加 ”按钮 即 可 (这 里 可 以 多 设置 几 个 库 区 信息 ), 如 图 8. 5 所 示 。 


和 ee 职务 折 流 第 。 14 


和 or 上 


| 

各 

i 
[> 
EE 


E22 


图 8.5 库 区 设置 


(5) 劳务 价格 设置 。 劳 务 价格 即 是 在 仓库 管理 中 产生 的 与 人 员 活 动 相关 的 费用 ， 
如 包装 费 、 上 货架 费 等 ,在 此 系统 中 计价 类 别 一 般 以 重量 计算 , 当 货 物 的 体积 (立方 
米 )/ 重 量 (千克 ) 之 50 时 以 体积 计 。 单 击 左 框架 “基础 设置 "下 拉 列 表 中 的 “劳务 价 
格 ”, 进 入 劳务 费 率 信息 维护 界面 ,填写 相关 信息 之 后 , 单 击 “ 添 加 ”按钮 即 可 ,如 图 8. 6 
所 示 。 


图 8.6 劳务 价格 设置 


(6) 入 库 类 型 设置 。 入 库 类 型 就 是 货物 在 入 库 时 采取 的 什么 方式 ,如 预定 入 库 ,调整 
入 库 、 盘 点 入 库 \ 包 装 入 库 .报废 入 库 等 内 容 。 单 击 左 框架 “基础 设置 "下 拉 列 表 中 的 “入 
库 类 型 ”", 进 入 入 库 类 型 维护 界面 ,填写 相关 信息 之 后 , 单 击 “ 添 加 ”按钮 即 可 ,如 图 8.7 
所 示 。 


图 8.7 入 库 类 型 设置 


(7) 出 库 类 型 设置 。 出 库 类 型 是 与 人 库 类 型 相对 应 的 ,也 是 基于 类 似 的 设置 。 单 击 
左 框架 * 基 础 设置 下拉 列表 中 的 “出 库 类 型 ,进入 出 库 类 型 维护 界面 ,填写 相关 信息 之 
后 , 单 击 * 添 加 ”按钮 即 可 ,如 图 8. 8 所 示 。 

3. 客户 管理 

(1) 发 布 库 区 。 单 击 左 框架 “客户 管理 ”下 拉 列 表 中 的 “发 布 库 区 ”, 进 入 库 区 发 布 管 
理 界面 。 这 里 的 库 区 即 是 在 基础 设置 中 所 添加 的 所 有 库 区 ,其 中 蓝 色 的 表示 已 经 发 布 出 


图 8.8 出 库 类 型 设置 


去 的 ,灰色 的 表示 还 没有 发 布 的 库 区 , 库 区 只 有 发 布 出 去 才能 被 客户 使 用 。 选 择 未 发 布 
的 库 区 , 单 击 * 发 布 ?按钮 ,发布 库 区 ; 选择 已 经 发 布 的 库 区 , 单 击 “收回 ”按钮 ,取消 库 区 发 
布 ,如 图 8.9 所 示 。 


图 8.9 发 布 库 区 


(2) 客户 信息 管理 。 单 击 左 框架 “客户 管理 ”下 拉 列 表 中 的 “客户 信息 ”, 进 入 客户 信 
息 管 理 界面 。 填 写 相关 信息 之 后 , 单 击 * 添 加 ”按钮 即 可 ,如 图 8. 10 所 示 。 


TA] » EX 
, E23 EE 
[Dam223 | [025-52468965 
Ey | 南京 良 行 国 1111 2222 3333 555| *( 例 : 1111 2222 3333 4444) 
[wangiun®126.com | * .shuntian.com.cn] 


图 8.10 客户 信息 管理 


(3) 申请 单 管理 。 申 请 单 管理 是 对 库 区 的 申请 方 管理 , 单 击 左 框架 “客户 管理 "下拉 
列表 中 的 “申请 单 管 理 ”, 在 客户 申请 单 维护 界面 中 填写 相关 信息 , 单 击 “ 添 加 ”按钮 即 可 ， 
如 图 8.11 所 示 。 

对 于 要 处 理 的 单据 先 选择 “通过 ”或 “拒绝 ”, 然 后 单 击 “ 审 批 " 按 钮 即 可 。 注 意 ,审批 
后 的 单据 是 可 以 修改 的 , 即 可 以 重新 审批 进行 状态 更 新 ,但 是 “审核 后 的 单据 是 不 能 修 
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图 8.11 申请 单 管 理 


改 的 。 审 核 通过 的 库 区 就 可 以 给 需 方 用 来 存储 货物 了 (先进 行 审批 后 进行 审核 ,不 同 的 
颜色 对 应 相应 的 状态 ) 。 

4. 业务 处 理 

(1) 产品 人 库 处 理 。 单 击 左 框架 “业务 处 理 " 下 拉 列 表 “ 出 入 库 ” 中 的 “入 库 单 ”, 进 入 
入 库 单 管 理 界面 , 单 击 下 方 的 “添加 ”按钮 即 可 。 

(2) 进入 入 库 单 编辑 界面 , 单 击 备注 信息 ,然后 在 “备注 信息 ”下 拉 列 表 框 中 选择 入 库 
类 型 , 单 击 “ 保 存 ” 按 钮 ,如 图 8. 12 所 示 。 


图 8.12 入 库 管 理 


(3) 在 弹出 的 界面 中 单 击 “ 确 定 ” 按 钮 ,再 单 击 下 方 的 “添加 ”按钮 ,进入 入 库 产品 设置 
界面 ,如 图 8. 13 所 示 。 


图 8.13 入 库 产品 


(4) 设置 产品 人 库 信息 ,选择 货物 名 称 以 及 入 库 库 区 , 单 击 “ 确 定 ” 按 钮 ,提交 入 库 产 
品 信息 的 设置 (注意 当 仓库 类 型 不 符 或 是 仓库 空间 不 够 的 话 ,在 入 库 库 区 中 将 没有 可 选 
库 区 ) ,如 图 8. 14 所 示 。 

(5) 再 次 选择 “出 入 库 ” 中 的 “入 库 单 ”, 单 击 “ 审 核 ” 按 钮 ,对 入 库 单 进行 申请 处 理 ,但 
是 已 经 审核 的 单据 是 不 能 编辑 的 。 
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加 http:77192. 168.0.9 - 产品 列表 一 Wicrosoft Internet Explorer 


IW201011230001 客户 公司 [1 - 秀 天 采购 公司 


RIG10001 安利 先 去 寺 国 黄 物 单位 | 省 


10 货物 重量 |100 


10 收 货 总 体积 | 100 
2010-11-23 入 库 库 区 | 1-1 号 仓库 _1 号 库 区 司 


图 8.14 入 库 产品 信息 


(6) 产品 出 库 处 理 。 产 品 出 库 处 理 操作 相当 于 入 库 处 理 的 操作 , 单 击 左 框架 “业务 处 
理 ” 下 拉 列 表 * 出 入 库 ” 中 的 “出 库 单 ”, 进 入 出 库 单 管理 界面 , 单 击 下 方 的 “添加 ”按钮 即 
可 。 进 入 出 库 单 编辑 界面 , 单 击 备注 信息 ,然后 在 “备注 信息 ”下 拉 列 表 框 中 选择 出 库 类 
型 , 单 击 “ 保 存 ” 按 钮 ,如 图 8. 15 所 示 。 


出 库 惫 号 [ow201011230001 | 
客 己 公司 [1- 秀 天 采购 公司 国 出 库 日 期 [2010-11-23 
备注 [预定 出 库 [| | 状态 


图 8.15 出 库 产品 


(7) 单 击 下 方 的 “添加 ”按钮 ,进入 出 库 产品 设置 界面 ,在 弹出 的 界面 中 填写 发 货 的 数 
量 (发 货 的 数量 不 能 大 于 库存 数量 ) , 单 击 * 确 定 ” 按 钮 ; 再 进入 “出 库 单 ”, 单 击 “ 审 核 " 按 
钮 ,对 出 库 单 进行 处 理 。 

S. 其 他 业务 

(1) 调拨 单 处 理 。 调 拨 单 是 将 库 区 中 的 货物 调配 的 单据 。 如 可 将 a 库 区 中 的 部 分 货 
物 调 到 b 库 区 ,首先 a 库 区 和 jb 库 区 必须 是 同一 类 型 的 库 区 ; 其 次 a 库 区 和 b 库 区 必须 
是 同一 家 公司 申请 的 。 单 击 左 框架 * 业 务 处 理 " 下 拉 列 表 * 其 他 业务 "中 的 “调拨 单 ”, 进 入 
调拨 单列 表 界 面 , 单 击 “ 添 加 ”按钮 ,进入 产品 单据 信息 ,如 图 8.16 所 示 。 

(2) 进入 产品 单据 信息 后 , 单 击 记录 信息 后 的 “调拨 ”按钮 ,进入 调拨 设置 界面 ,如 
图 8.17 所 示 。 

(3) 进入 调拨 设置 界面 后 .选择 调拨 入 库 区 ,输入 调拨 数量 和 备注 信息 后 , 单 击 “ 保 
存 ” 按 钮 ,提交 调拨 设置 ,如 图 8. 18 所 示 。 

(4) 再 次 单 击 “ 调 拨 单 ”, 进 入 “调拨 单列 表 ” 界 面 ,选择 所 要 审核 的 调拨 单 , 单 击 “ 审 
核 按 钮 即 可 ,如 图 8. 19 所 示 。 
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图 8.16 调拨 单 处 理 


序号 | 库存 量 编导 | 客户 公司 调 扩 
1 | wczorouamoor | Ricloo | NW | 天 0 | misemi3ne | 项 天 公司 区 
图 8.17 库存 调拨 


调 统 间 呈 [MG201011230001 | 调 纺 BE 期 [2010-11-23 | 
原 存 加 号 || xcC201011230001 | 寺 尸 公司 [1 物 天 采购 公司 

HR |[RIG10001 黄征 [ 医 和 放生 

计 褒 位置 | 号 全 放下 拉 XAE [2-1SEF 25E 。 园 
库存 光量 |[10 调 拓 数 量 | 

数量 单位 | 天 2 | 


图 8.18 库存 调拨 设置 


电 序号 | 制 单 日 期 调 抗 单 编号 货物 编码 货物 名 称 数量 单位 | 调 拟 数 量 
1 | 2010-11-23 | MG201011230001 | RIG10001 安利 洗 发 县 着 2 1-1§ 


图 8.19 调拨 单 审 核 


(5) 盘点 单 处 理 。 盘 点 单 主要 是 盘点 库存 数量 的 , 即 看 盘点 后 的 数量 比 库存 显示 的 
数量 是 多 了 还 是 少 了 。 选 择 左 框架 “业务 处 理 ”" 下 拉 列 表 “ 其 他 业务 "中 的 “盘点 单 ”, 进 入 
盘点 单列 表 界 面 , 单 击 * 添 加 ?按钮 ,进入 产品 单据 信息 。 单 击 记录 信 息 后 的 "盘点 "按钮 ， 
进入 盘点 设置 界面 ,如 图 8. 20 所 示 。 


序号 库存 量 编号 | 黄 物 蝙 码 人 呐 钢 名 你 流量 单位 库 专 当量 存 俯 陈 区 客户 公司 En 
i weaoloni230003 | RiGio00t EE EE EEC 7 [z 
2 XC201011230002 RIG10001 安利 计 发 更 癫 10 1-1 号 仑 库 _1 号 库 区 工 委 天 采购 公司 区 
3 Xe201011230001 RiGl0001 EE 要 ET EE 攻 


8.20 盘点 单 处 理 


uN 
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(6) 在 盘点 设置 界面 中 ,输入 盘存 数量 和 备注 信息 后 , 单 击 “ 保 存 ” 按 钮 ,提交 盘点 设 
置 ,如 图 8. 21 所 示 。 


- 数量 单位 | 狐 
| 
| 


图 8.21 盘点 设置 


(7) 再 次 单 击 “ 盘 点 单 ”， 进 入 盘点 单列 表 界 面 。 在 盘点 单列 表 中 ,选择 盘点 单 , 单 击 
“审核 ?按钮 ,提交 审核 处 理 。 

(8) 库存 量 整 理 。 库 存量 是 对 库存 的 查询 和 整理 操作 。 单 击 左 框架 “业务 处 理 ” 下 拉 
列表 “其 他 业务 ”中 的 “库存 量 ”, 进 入 库存 量 整 理 界 面 , 单 击 “ 整 理 ” 按 钮 可 把 已 经 发 完 货 
的 单据 自动 删除 掉 。 

6. 费用 结算 

费用 单据 显示 的 是 出 库 、 入 库 、 出 租 的 相关 费用 单据 。 单 击 左 框 架 “ 业 务 处 理 ” 下 拉 
列表 “费用 结算 ”中 的 “费用 单据 ”*, 进 入 费用 结算 界面 ,对 未 缴费 的 单据 可 单 击 “ 催 费 ” 操 
作 , 即 可 向 客户 催收 费用 ,如 图 8. 22 所 示 。 


图 8.22 费用 结算 


7， 财务 管理 
仓储 公司 收益 查询 ,包括 出 租 收 益 和 劳务 收益 两 部 分 的 查询 ; 仓储 公司 进行 仓储 分 
析 , 包 括 安全 库存 、 超 储 预 警 、 低 储 预警 统计 分 析 四 部 分 的 分 析 ; BF 


另外 ,仓储 公司 还 可 以 进行 库 龄 分 析 , 有 两 种 类 型 ,一 是 按 年 分 析 ， 全 
另 一 个 是 按 月 分 析 。 二 全 

(1) 出 租 收益 查询 。 单 击 左 框架 * 收 益 查 询 " 下 拉 列 表 中 的 “出 。 ”此 ws 
租 收益 ”, 在 右 框架 中 即 可 查看 到 出 租 收益 ,如 图 8. 23 所 示 。 人 


同样 的 ,要 查看 入 库 劳务 收益 ,就 单 击 “劳务 收益 "下拉 列表 中 。 gf 
的 “入 库 劳务 收益 ”; 要 查看 出 库 劳务 收益 ,就 单 击 "劳务 收益 "下拉 一 
列表 中 的 “出 库 劳务 收益 ”, 图 8. 24 显示 的 是 入 库 劳务 收益 。 图 8.23 出 租 收益 
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床 呈 单据 可 号 制 划 日 央 香 划 名 和 客户 公司 宽 用 全 宙 
1 | mezotollza0p0z | 2010-11-23 入 诛 用 单 秀 天 未 购 公 司 200000 
2 | Meazotollz30004 | 2010-11-23 入 村 要 用 单 秀 天 采购 公司 200000 

dl 400000 


图 8.24 入 库 劳 务 收 益 


(2) 仓储 分 析 : 仓储 分 析 是 对 仓库 的 库存 安全 方面 的 统计 分 析 ( 包 括 安 全 库存 、 超 储 
预警 . 低 储 预警 .统计 分 析 ) 。 

@ 安全 库存 。 安 全 库存 是 查询 库 区 使 用 比例 在 10 兴 一 60%% 的 库 区 情况 , 单 击 左 杠 
架 “ 仓 储 分 析 ” 下 拉 列 表 中 的 “安全 库存 ”, 即 可 查看 安全 库存 信息 ,如 图 8. 25 所 示 。 


图 8.25 安全 库存 信息 


@ 超 储 预 警 。 超 储 预 警 是 查询 库 区 使 用 比例 在 60% 以 上 的 库 区 情况 , 单 击 左 框架 
“仓储 分 析 ” 下 拉 列 表 中 的 “ 超 储 预警 ”, 即 可 查看 超 储 预警 信息 (这 里 没有 超 储 的 库 区 )。 

@ 低 储 预警 。 低 储 预警 是 查询 库 区 使 用 比例 在 10% 以 下 的 库 区 情况 , 单 击 左 框架 
“仓储 分 析 ” 下 拉 列 表 中 的 “ 低 储 预警 ”, 即 可 查看 低 储 预警 信息 。 

@ 统计 分 析 。 统 计 分 析 是 对 以 上 三 种 情况 的 柱状 图 显示 。 单 击 左 框架 “仓储 分 析 ” 
下 拉 列 表 中 的 “统计 分 析 ”, 即 可 查看 统计 信息 ,如 图 8. 26 所 示 。 
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图 8. 26 统计 信息 


1 


Ns 


(3) 库 龄 分 析 : 主要 是 查询 仓库 库 区 的 年 限 ,可 分 为 按 年 分 析 和 按 月 分 析 两 种 。 
@ 按 年 分 析 。 单 击 左 框架 “ 库 龄 分 析 ” 下 拉 列 表 中 的 “ 按 年 分 析 ”, 在 右 框架 中 显示 按 
年 分 析 表 ,如 图 8. 27 所 示 。 
Infragistics UltraChart 11-23-10 
100.00 ] 


50.00 | 


参 比 0% 1 年 以 内 1 一 2 年 2 一 3 年 3 一 5 年 5 年 以 上 参 比 100% 
图 8. 27 按 年 分 析 


@ 按 月 分 析 。 单 击 左 框架 “ 库 龄 分 析 ” 下 拉 列 表 中 的 “ 按 月 分 析 ”, 在 右 框架 中 显示 按 
月 分 析 表 ,如 图 8. 28 所 示 。 


Infragistics UltraChart 11-23-10 


50.00 | | | 
40.00 | | 
30.00 
20.00 
10.00 


0 
参 比 0% ”1 月 以 内 1~3 月 3~6 月 6~9 月 ”9~12 月 12 月 以 上 参 比 100% 
图 8.28 按 月 分 析 


8. 思考 题 
物流 仓储 如 何 实现 的 ? 
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